Tietoturvauutiset ja blogipostaukset

WD:ltä tuli sähköpostia (Kyllä, kuvana). Nähtävästi verkkokaupan asiakastiedot lähtenyt karkuteille.

1683357110065.png


Liittynee varmaan tähän aiempaan tapaukseen: Hackers claim vast access to Western Digital systems
 
Tällä kertaa MSI on joutunut hakkereiden kohteeksi, mutta MSI ei ole kertonut mihin on päästy käsiksi, mutta varoittelee käyttäjiä lataamasta BIOS/firmware tiedostoja muualta kuin virallisilta sivuilta...

- MSI did not disclose any specifics about when the attack took place and if it entailed the exfiltration of any proprietary information, including source code.
- MSI is further urging users to obtain firmware/BIOS updates only from its official website, and refrain from downloading files from other sources.


MSIn oma virallinen tiedote:
Ilmeisesti tämän vuodon seurauksena on torstaina julkaistu/dumpattu materiaalia, jossa löytyy MSI:n tuotteiden BIOS/UEFI päivitysten allekirjoitusavaimia. Jos ymmärsin oikein, niin MSI:n ohjetta tosiaan kannattaa noudattaa ja katsoa huolella mistä lataa mahdollisia päivityksiä. Tuolla sanotaan että vuodossa on mukana myös jokin Intelin privaattiavain OEM-valmistajille (Boot Guard), joten lisää tietoa vaikutuksista tullee vielä perässä.
Linkit: BINARLY twitterissä , Bleeping Computer , Tom's Hardware
 
Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.

Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.

1683052275361.png


Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.
AppLocker / Smart App Control-aihetta hieman hipoen, verkkorikolliset ovat alkaneet allekirjoittelemaan malwarea Intelin OEM sertifikaatilla, kiitos MSI:n vuodon.







Saa nähdä nähdäänkö pian myös Western Digitalin sertifikaatilla allekirjoitettua malwarea.
 
Viimeksi muokattu:
Niin ja vaikka salaus onkin sisäänrakennettuna yleisimpiin sähköpostiohjelmiin (kuten S/MIME), niin jos sen käyttöönotto on vähänkään vaikeaa niin "Teppo tallaaja" ei ota sitä käyttöön.

Jopa O365:ssa se on kyllä todella perseestä käyttää ja ottaa käyttöön ja saattaa jopa katoilla ribbonilta osalla käyttäjistä eri bugien ja GPO:n mukana jne. Jumalattoman rasittavaa, että perusominaisuus on noin hanurista käyttää. En kyllä muutenkaan ymmärrä miten MS saa vuosi toisensa jälkeen pilattua kaiken mitä se luo. Kaipa se jonkun on pidettävä helpdesk-ulkoistusfirmat elossa.
 
Jopa O365:ssa se on kyllä todella perseestä käyttää ja ottaa käyttöön ja saattaa jopa katoilla ribbonilta osalla käyttäjistä eri bugien ja GPO:n mukana jne. Jumalattoman rasittavaa, että perusominaisuus on noin hanurista käyttää. En kyllä muutenkaan ymmärrä miten MS saa vuosi toisensa jälkeen pilattua kaiken mitä se luo. Kaipa se jonkun on pidettävä helpdesk-ulkoistusfirmat elossa.
Ehkäpä se johtuu siitä, kun on niin paljon rahaa ja valta-asemaa, ettei laatu pysy käsissä, kun huonollakin pärjää.
 
LTT postas ihan hyvän videon siittä, miksei tuntemattomia latauskaapeleita pidä mennä käyttämään. Ei mitään uutta ja ihmeellistä niille, jotka jo muutenkin seuraavat yleensäkin tietotekniikkaan liittyvää uutisointia.

Ehkä uutta oli tän uusimman kaapelin uudet mahdollisuudet vs. edelliset, kun mikrokontrolleriin on saatu tungettua lisää ominaisuuksia (esim. wlan ja bluetooth) ja lisää muistia (mahdollistaa suuremman payloadin + muuta). Mitään uutta ei siis ole sinänsä keksitty.

Videossa oli myös onneksi mainittuna julkiset USB-latausportit, jonka takana voi olla vaikka kokonainen datakeskus (mikäli niin haluaa), eli samat rajoitukset eivät päde noihin julkisiin latausportteihin vs. latauskaapeleihin.

Hyvä uutinen on, että näitä tuodaan nykyisin julkisuuteen enemmän ja enemmän. Huono uutinen on, että noi julkisuudessa laajaasti levinneet uutiset laahaa noin 20-vuotta perässä...

 
LTT postas ihan hyvän videon siittä, miksei tuntemattomia latauskaapeleita pidä mennä käyttämään. Ei mitään uutta ja ihmeellistä niille, jotka jo muutenkin seuraavat yleensäkin tietotekniikkaan liittyvää uutisointia.

Ehkä uutta oli tän uusimman kaapelin uudet mahdollisuudet vs. edelliset, kun mikrokontrolleriin on saatu tungettua lisää ominaisuuksia (esim. wlan ja bluetooth) ja lisää muistia (mahdollistaa suuremman payloadin + muuta). Mitään uutta ei siis ole sinänsä keksitty.

Videossa oli myös onneksi mainittuna julkiset USB-latausportit, jonka takana voi olla vaikka kokonainen datakeskus (mikäli niin haluaa), eli samat rajoitukset eivät päde noihin julkisiin latausportteihin vs. latauskaapeleihin.

Hyvä uutinen on, että näitä tuodaan nykyisin julkisuuteen enemmän ja enemmän. Huono uutinen on, että noi julkisuudessa laajaasti levinneet uutiset laahaa noin 20-vuotta perässä...


Muistelin, että tuosta aikoinaan tänne kirjoitinkin (reilu kolme vuotta sitten), silloin jo oli wlan sun muut mahdollisuudet...

Nämäkin on pääosin vaarana teollisuus sun muussa vakoilussa, peruskäyttäjän ei tarvitse alkaa pelkäämään jokaista kaapelia, mutta kannattaa miettiä, että uskaltaako sitä ihan kaikkialla kuitenkaan sitä luuriaan tökätä suoraan USB-liittimeen kiinni saadakseen virtaa...
Tosiaan FBI vähän aikaa sitten julkaisi ihan virallisen tiedotuksen kaikille asian suhteen, minkä takia sitten on taas vähän herätty tähän aiheeseen varoittelemaan ties mistä.
 
Muistelin, että tuosta aikoinaan tänne kirjoitinkin (reilu kolme vuotta sitten), silloin jo oli wlan sun muut mahdollisuudet...

Nämäkin on pääosin vaarana teollisuus sun muussa vakoilussa, peruskäyttäjän ei tarvitse alkaa pelkäämään jokaista kaapelia, mutta kannattaa miettiä, että uskaltaako sitä ihan kaikkialla kuitenkaan sitä luuriaan tökätä suoraan USB-liittimeen kiinni saadakseen virtaa...
Tosiaan FBI vähän aikaa sitten julkaisi ihan virallisen tiedotuksen kaikille asian suhteen, minkä takia sitten on taas vähän herätty tähän aiheeseen varoittelemaan ties mistä.

Oli menny multa varmaan ohi toi sun postaus, mut ihan hyvä näistä on muistuttaa tasaisin väliajoin :).

En sitä vakoilua nyt Pentti Peruskäyttäjän kannalta pelkäis, vaan lähinnä kiristys (esim. Pentti kuvannu seksivideon, vaimonsa/ei vaimonsa kannsa, tai firman kirjanpidossa on sovellettu väljempiä sääntöjä kuin mitä verottaja vaatii) ja osallisuus bottiverkkoon on ne ongelmat, jotka itellä oli mielessä Pentin kannalta. Ja yleensäkin se payload taitaa olla vain se minimaalisin mahdollinen toteutus, jolla ladataan se itse haitake laitteeseen.
 
Onneks noita USB kondomeja näyttää saavan nykyään USB-PD -tukisinakin. Eli sellainen käyttöön jos haluaa käyttää satunnaista kaapelia tai latauspistettä.

Tosin huono puoli noissa kaupallisissa USB-PD:tä tukevissa on, että täytyy luottaa valmistajaan miten ne toimii. Perus 10W lataus jos riittää niin voi tehdä vaikka itse ja sitten voi olla jo varma että dataa ei tosiaan liikun kun laturinpuoleiset datakarvat ei ole kytketty mihinkään.
 
Onneks noita USB kondomeja näyttää saavan nykyään USB-PD -tukisinakin. Eli sellainen käyttöön jos haluaa käyttää satunnaista kaapelia tai latauspistettä.

Tosin huono puoli noissa kaupallisissa USB-PD:tä tukevissa on, että täytyy luottaa valmistajaan miten ne toimii. Perus 10W lataus jos riittää niin voi tehdä vaikka itse ja sitten voi olla jo varma että dataa ei tosiaan liikun kun laturinpuoleiset datakarvat ei ole kytketty mihinkään.

Joo ei oo helppoo Pentti Perustallaajalla, jolla ois intoa turvata omat laitteensa, mutta tiedon haku itsenäisesti on tasoa telkku uutiset/ohjelmat/mainokset/jne., välillä Youtubea sekä sen mainoksia, sanomalehdet, sekä niinden mainokset. Lopputulos... Noh.. jätän kertomatta. Jokainen saa itse kuvitella mikä se on...
 
Informaation hakeminen on ikävä kyllä muuttumassa sukupolvien myötä ja omasta mielestä menossa surkeaan suuntaan. Nykyään ku hakee jotain asiaa, niin monesti on video muodossa tarjolla linkkejä ja 95% on kuraa!

No nyt sitten aletaan tätä tukemaan enempi hakukoneen suunnalta ja epäilen että laajenee vaan tulevaisuudessa.

plan to make Google Search more “visual, snackable, personal, and human.” One aspect of that will involve adding more “short videos” to Search results in response to how young people are increasingly getting information.

Google senior vice president overseeing the search engine, said at a conference in July last year that about 40% of young people turn to TikTok or Meta Platforms-owned Instagram when searching for restaurants, citing an internal study.
 
LTT postas ihan hyvän videon siittä, miksei tuntemattomia latauskaapeleita pidä mennä käyttämään. Ei mitään uutta ja ihmeellistä niille, jotka jo muutenkin seuraavat yleensäkin tietotekniikkaan liittyvää uutisointia.

Ehkä uutta oli tän uusimman kaapelin uudet mahdollisuudet vs. edelliset, kun mikrokontrolleriin on saatu tungettua lisää ominaisuuksia (esim. wlan ja bluetooth) ja lisää muistia (mahdollistaa suuremman payloadin + muuta). Mitään uutta ei siis ole sinänsä keksitty.

Videossa oli myös onneksi mainittuna julkiset USB-latausportit, jonka takana voi olla vaikka kokonainen datakeskus (mikäli niin haluaa), eli samat rajoitukset eivät päde noihin julkisiin latausportteihin vs. latauskaapeleihin.

Hyvä uutinen on, että näitä tuodaan nykyisin julkisuuteen enemmän ja enemmän. Huono uutinen on, että noi julkisuudessa laajaasti levinneet uutiset laahaa noin 20-vuotta perässä...


Apple toi macOS Venturaan rajoituksen jos on Apple Siliconilla varustettu kannettava. Eli tarvittaessa kysyy kun liittää tuntemattoman lisälaitteen kiinni. Tuota ominaisuutta ei ole Applen pöytäkoneissa.

Testasin liittämällä tavallisen näppäimistön usb-c porttiin niin kysyy heti.
1683713716324.png
 
Informaation hakeminen on ikävä kyllä muuttumassa sukupolvien myötä ja omasta mielestä menossa surkeaan suuntaan. Nykyään ku hakee jotain asiaa, niin monesti on video muodossa tarjolla linkkejä ja 95% on kuraa!

No nyt sitten aletaan tätä tukemaan enempi hakukoneen suunnalta ja epäilen että laajenee vaan tulevaisuudessa.

plan to make Google Search more “visual, snackable, personal, and human.” One aspect of that will involve adding more “short videos” to Search results in response to how young people are increasingly getting information.

Google senior vice president overseeing the search engine, said at a conference in July last year that about 40% of young people turn to TikTok or Meta Platforms-owned Instagram when searching for restaurants, citing an internal study.

Ite oon yrittäny päästä eroon googlen hakukoneesta, mutta joutunu palaamaan takaisin vakoilun/valvonnan alle, kun esim. Duckduckgo:n tulokset on täyttä pa...aa... Ei hirveesti innosta käyttää muita, kun yrität aloittaa päivän ja huomaat et koko verkko on nurin, tiedät missä on vika, mutta et muista mikä se keleen komento oli, jolla asia sais korjattua, etkä ajatellut tallentaa sitä kirjainmerkkeihin mistä se löytyy.

No, ei hätää, luurissa netti toimii, muistat hakusanat millä löysit ratkaisun ja ei muutaku syötät ne.... Duckduckgo:hon... Tulos: Menee 5-10min hakukoneen tuloksien selaamiseen ennenkuin se tarvittu komento löytyy (en todellakaan kirjoita sokkona mitä netti tuottaa, vaan tarkistan jokaisen vivun ja syötteen tarkoituksen esimerkki komennosta) vs. Googlella vastaava ois löytyny sijoilta 1-3.
 
Apple toi macOS Venturaan rajoituksen jos on Apple Siliconilla varustettu kannettava. Eli tarvittaessa kysyy kun liittää tuntemattoman lisälaitteen kiinni. Tuota ominaisuutta ei ole Applen pöytäkoneissa.

Testasin liittämällä tavallisen näppäimistön usb-c porttiin niin kysyy heti.
1683713716324.png

Ei koske, tai ei tule koskemaan, jatkossa EU:n alueella/alueelta myytyjä Applen latureita/kaapeleita. Muistaakseni eilen kuulin/luin uutisen et Apple haluaa olla Apple ja estää muiden valmistajien latureiden, SEKÄ kaapeleiden, lataamasta Applen laitteita täydellä teholla.

Nyt on EU:lta tulossa selvennys USB-lakiin, että kaikkien valmistajien laturit, sekä kaapelit, pitää sopia ristiin ilman rajoituksia. Kaikki tämä ihan vain kun EU sai vihiä Applen suunnitelmista jatkaa tuota hv-asennetta.
 
Ei koske, tai ei tule koskemaan, jatkossa EU:n alueella/alueelta myytyjä Applen latureita/kaapeleita.
Siis mikä ei koske/tule koskemaan? Jos tuo kysyy lupaa minkä tahansa USB-laitteen kytkemiseen (myös Applen valmistamien) niin en näe että EU:lla olisi mitään sitä vastaan.

Itse asiassa ominaisuus olisi ihan toivottava kaikkiin laitteisiin. Tuohan on ikäänkuin sisäänrakennettu USB-kondomi.
 
Testasin tuota Asus Zenscreen Go MB16AP kannettavan näytön usb-c laturilla ja kaapelilla. Tulee tuo sama "Allow accessory to connect" ilmoitus. Applen omalla laturilla ja kaapelilla ei tule ilmoitusta eli olenko sen jotenkin jo hyväksynyt tms.

Edit: Kokeilin toisella Applen laturilla ja kaapelilla. Ei tule mitään ilmoitusta eli ne ovat luotettuja.
 
Viimeksi muokattu:
Siis mikä ei koske/tule koskemaan? Jos tuo kysyy lupaa minkä tahansa USB-laitteen kytkemiseen (myös Applen valmistamien) niin en näe että EU:lla olisi mitään sitä vastaan.

Itse asiassa ominaisuus olisi ihan toivottava kaikkiin laitteisiin. Tuohan on ikäänkuin sisäänrakennettu USB-kondomi.

AP mainitsi tuntemattoman lisälaitteen.

Mikä estää käyttämästä 1-to-1 väärennöstä? Eli Omena-to-Omena/Apple-to-Apple? Väännän lisää rautalankaa: Applella ei tule olemaan oikeutta estää/rajoittaa 3:n osapuolen latureiden/kaapeleiden käyttöä millään tavalla. Kysely laitteessa, että sallitaanko sen käyttö, mikäli laite/laturi/kaapeli ei ole ollut aikaisemmin kontaksitta kyseiseen Applen/muun valmistajan, laitteeseen, oli se sitten aito/väärennös/3. osapuolen tekemä, niin: En osaa sanoa, miten EU tulee suhtautumaan asiaan siirtymäajan jälkeen (tais päättyä 2026).

Mutta mikäli Apple päättää esittää tuon kyselyn, mitä @user9999 näytti sen lain siirtymäajan jälkeen kaikille muille, paitsi omille latureille/kaapeleille, niin se käsittääkseni tulee olemaan laitonta.

Ja joo oon samaa mieltä, että tuollainen kysely on enemmän kuin tervetullutta = Masiinan mukana tullut laturi, sekä kaapeli paritetaan ensimmäisen käyttökerran yhteydessä ja EI muita latureita/kaapeleita mielellään. Mikäli laite alkaa yhtäkkiä kyselemään lupaa pariutua laturin/kaapelin kanssa, niin pitäisi rueta hälytyskellot ulvomaan käyttäjän korvissa ja kovaa.
 
Väännän lisää rautalankaa
En tiedä miksi haluat vääntää rautalankaa kun eihän tässä ollut mitään epäselvää. Laitehan ei edes estä minkään kaapelin käyttöä vaan kysyy käyttäjältä saako kytketty laite siirtää dataa.

Toki ymmärrän, että jotta tuo toimisi aukottomasti niin täytyisi kysyä silloinkin, jos laite on tunnettu (eli käyttäjä on jo kertaalleen sanonut että saa siirtää dataa). Mutta siis tuollaisenakin ratkaisee vähän tuota random latureiden ongelmaa, eli mikä on todennäköisyys että jossain julkisella paikalla oleva laturi antaa saman PID/VID/SN yhdistelmän, kuin jokin sinulla oleva laite jolle olet dataoikeudet antanut? Käytännössä tuolla pitäisi siis voida huoletta käyttää random laturia, kunhan vaan vastaa tuohon kyselyyn "en salli".

Mun android-luurikin kysyy kun liitän sen USB:llä vaikka tietokoneeseen, että haluakon käyttää sitä vain laturina (eli vastaa "en sallit" tuossa mäkissä) vai antaa pääsyn laitteen dataan. Mutta Antero taitaa hyväksyä HID-laitteet ilman kyselyitä, enkä muutenkaan tiedä kuinka luotettavasti se rajoittaa, joten en käytä random kaapeleita/latureita ilman erillistä suojaa.
 
En tiedä miksi haluat vääntää rautalankaa kun eihän tässä ollut mitään epäselvää. Laitehan ei edes estä minkään kaapelin käyttöä vaan kysyy käyttäjältä saako kytketty laite siirtää dataa.

Toki ymmärrän, että jotta tuo toimisi aukottomasti niin täytyisi kysyä silloinkin, jos laite on tunnettu (eli käyttäjä on jo kertaalleen sanonut että saa siirtää dataa). Mutta siis tuollaisenakin ratkaisee vähän tuota random latureiden ongelmaa, eli mikä on todennäköisyys että jossain julkisella paikalla oleva laturi antaa saman PID/VID/SN yhdistelmän, kuin jokin sinulla oleva laite jolle olet dataoikeudet antanut? Käytännössä tuolla pitäisi siis voida huoletta käyttää random laturia, kunhan vaan vastaa tuohon kyselyyn "en salli".

Myönnän virheeni!

Onnistuin skippaamaan viestisi kohdan joka oli sulkujen sisässä: "myös Applen valmistamien"...

Pistän leuan rintaan ja suuntaan kohti uusia munauksia (jossain muualla kuin techbbs:sä).

Anteeksi :sad:!
 
Hint: Startpage, google ilman valvontaa.

Olin jo unohtanu tuon.... Kiitos! Ja silloinkin se tais jäädä tasolle "tää ei näytä googlelle". Se tais olla jotain aikoihin jolloin Startpage oli ns. "IN" kaveripiirissä ja itteä ei taas kiinnostanu hypätä hypetyksen mukaan yhtään (muistissa oli Ubuntu 6.xx, jota hypetettiin myös kaveripiirissä ja taso oli taas jälleen luokkaa: "Tilasin netistä Ubuntun sivuilta ILMAISEKSI asennus cd:n, osasin asentaa sen, avata selaimen ja aikuisten oikeesti SE toimi!).

Et muuten ikinä usko kuinka moni noista kaveripiirini hypettäjistä käyttää sitä, mitä he aikoinaan hypettivät. Ei yksikään, eikä ainuttakaan.
 
Kernelit päivitykseen jos mahdollista, joillakin distroilla on myöskin omia väliaikaisia ratkaisuja, mikäli kernelit ei heti päivity...


In the Linux kernel through 6.3.1, a use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary read and write operations on kernel memory. Unprivileged local users can obtain root privileges. This occurs because anonymous sets are mishandled.
 
Hint: Startpage, google ilman valvontaa.
Selvittelin miten Startpage onnistuu tekemään suojatumman toteutuksen Google hakukonetta käyttäen. Ilmeisesti Startpage näyttää jonkin verran mainoksia, mutta ei käytä niiden valintaan käyttäjän hakuhistoriaa. Ja saa mainoksista rahaa, jolla sitten maksaa Googlelle korvausta. Kaipa tuo voi toimia, koska Googlen kannalta voi olla parempi että haku ei mene kilpailijalle. Google varmasti tekee rahaa hakutilastoilla silloinkin, kun yksittäisen haun tekijää ei tunnisteta.
 
LTT postas ihan hyvän videon siittä, miksei tuntemattomia latauskaapeleita pidä mennä käyttämään. Ei mitään uutta ja ihmeellistä niille, jotka jo muutenkin seuraavat yleensäkin tietotekniikkaan liittyvää uutisointia.

Ehkä uutta oli tän uusimman kaapelin uudet mahdollisuudet vs. edelliset, kun mikrokontrolleriin on saatu tungettua lisää ominaisuuksia (esim. wlan ja bluetooth) ja lisää muistia (mahdollistaa suuremman payloadin + muuta). Mitään uutta ei siis ole sinänsä keksitty.

Videossa oli myös onneksi mainittuna julkiset USB-latausportit, jonka takana voi olla vaikka kokonainen datakeskus (mikäli niin haluaa), eli samat rajoitukset eivät päde noihin julkisiin latausportteihin vs. latauskaapeleihin.

Hyvä uutinen on, että näitä tuodaan nykyisin julkisuuteen enemmän ja enemmän. Huono uutinen on, että noi julkisuudessa laajaasti levinneet uutiset laahaa noin 20-vuotta perässä...



Voisi taas kysyä, onko jossain menty pieleen ja pahasti, jos pelkkä johdon liittäminen puhelimeen voi johtaa puhelimen kaappaamiseen.
 
Voisi taas kysyä, onko jossain menty pieleen ja pahasti, jos pelkkä johdon liittäminen puhelimeen voi johtaa puhelimen kaappaamiseen.
Tässähän nyt ei ole kyse pelkästään puhelimet, USB johtoja käytetään monen eri oheislaitteen kytkemiseen, eli sama kaappaus onnistuu, jos vaikka kytket näppiksen tuollaisella johdolla tietokoneeseen ja täten voidaan ottaa tietokoneesi haltuun etänä esimerkiksi...
 

Liikenne- ja viestintäviraston määräys koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu täysimääräisinä voimaan kesäkuussa 2023. Uudessa määräyksessä on kaksi tärkeää kohtaa, jotka tekevät sähköisestä asioinnista entistä turvallisempaa.

Asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Käyttäjän tulee pystyä helposti tarkistamaan palvelun nimi, mihin hän on kirjautumassa.

Toinen loppukäyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään. Jos istuntotunnisteet eivät täsmää, voi olla kyseessä oikeudeton tunnistuspyyntö, jolloin tunnistustapahtuma tulee katkaista. Istuntotunniste ei kuitenkaan estä kalasteluyrityksiä, joissa kalastelija pystyy näyttämään käyttäjälle selaimessa väärennettyä tietoa.

Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.
 
Asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Käyttäjän tulee pystyä helposti tarkistamaan palvelun nimi, mihin hän on kirjautumassa.

Toinen loppukäyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään. Jos istuntotunnisteet eivät täsmää, voi olla kyseessä oikeudeton tunnistuspyyntö, jolloin tunnistustapahtuma tulee katkaista. Istuntotunniste ei kuitenkaan estä kalasteluyrityksiä, joissa kalastelija pystyy näyttämään käyttäjälle selaimessa väärennettyä tietoa.

Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.

Katsotaan saadaanko noihin autentikointipyyntöhihin noi lisätiedot mukaan. Ainakin eräs liikepankki lähettää autentikointipyynnöt ilman mitään referenssiä, ei tietoa pankista tai tapahtumasta. Olen monta kertaa maininnut ja viimeksi kun käytin, ei ollut vieläkään korjattu. Samoin osa autentikoinninpyytäjistä ei anna mitään pyytäjä tietoa. Eli antavat vain referenssi koodin.

Hyvä että tuohon epäkohtaan ehkä tullaan jatkossa puuttumaan. Mutta saas nähdä, tuleeko noi korjatuksi vai ei. Voisin melkein piruuttani tarkistaa tuon liikepankin tilanteen heti. Katsotaas sanoi tohtori. Tarkistettu tuoreeltaan, ei tule vieläkään. Se on vaan että vahvista sisäänkirjautuminen ja se on siinä. Ei mitään tietoa mihin ollaan kirjautumassa ja miksi ja mistä sessiosta on kyse.
 
Viimeksi muokattu:
Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.
Mitä tämä mahtaa tarkoittaa "Suomen rahassa", lyhyellä ja pidemmällä aikajänteellä? Ettei olisi joskus tulossa pakolliseksi?

Mobiilivarmenteet ja tunnistussovellukset eivät taida toimia työpöydällä. Toimisiko, jos laittaisi virtuaalikoneelle pystyyn Android-emulaattorin?
 
Mitä tämä mahtaa tarkoittaa "Suomen rahassa", lyhyellä ja pidemmällä aikajänteellä? Ettei olisi joskus tulossa pakolliseksi?

Mobiilivarmenteet ja tunnistussovellukset eivät taida toimia työpöydällä. Toimisiko, jos laittaisi virtuaalikoneelle pystyyn Android-emulaattorin?
Miten kirjaudut nykyään esimerkiksi pankkiin, jos sinulla ei ole jotain vahvaa tunnistusta käytössä?
Joiltakin pankeilta saa ihan fyysisen laitteenkin tuota varten, ainakin itsellä on Danskelta vuosia sitten tullut sellainen, kun pyysin.

Joku emulaattori systeemi ny on vihoviimeinen idea mielestäni alkaa tietoturva systeemejä ajamaan.
 
Miten kirjaudut nykyään esimerkiksi pankkiin, jos sinulla ei ole jotain vahvaa tunnistusta käytössä?
Tunnuslukukortti toimii edelleen.

[EDIT]
Dedikoitua koodilaitetta voi myös pitää varsin luotettavana mutta en luottaisi mihinkään PC- tai puhelinsoftaan tunnistautumisessa.
 
Tunnuslukukortti toimii edelleen.

[EDIT]
Dedikoitua koodilaitetta voi myös pitää varsin luotettavana mutta en luottaisi mihinkään PC- tai puhelinsoftaan tunnistautumisessa.
Ehkä kannattaa pikkuhiljaa siirtyä moderniin tekniikkaan, tietenkin oma valinta, mutta turha valittaa jos jokin palvelu lakkaa toimimasta. Maailma kehittyy ja tietoturvaa pyritään parantamaan ja helpottamaan....
 
Ehkä kannattaa pikkuhiljaa siirtyä moderniin tekniikkaan, tietenkin oma valinta, mutta turha valittaa jos jokin palvelu lakkaa toimimasta. Maailma kehittyy ja tietoturvaa pyritään parantamaan ja helpottamaan....
Dedikoitu koodilaite on nykyaikaa mutta eipä pahvikortissakaan mitään olennaista vikaa ole. Koodilaitteessa on niin vähän osia, että se voi olla mahdollista osoittaa luotettavaksi.

Kun mennään softaan, joka pyörii jollain alustalla ja kommunikoi yleiskäyttöisen käyttöliittymän kautta, kokonaisuutta ei pysty enää kukaan hallitsemaan. Asiat vain näyttävät joltain mutta toteutuksen kokonaisuuden hallinta on melko mahdotonta. Kun jokin oletus pettää, voi koko ratkaisun tietoturvalta pudota pohja. Softan ja liittymän välissä voi olla ties mitä loggereita ja analysaattoreita.

En missään nimessä usko, että mikään kännykkäsofta voisi olla turvallisempi kuin dedikoitu koodilaite.
 
En missään nimessä usko, että mikään kännykkäsofta voisi olla turvallisempi kuin dedikoitu koodilaite.
Senhän ei tietenkään tarvitsekaan olla turvallisempi. Jos se olisi edes yhtä turvallinen niin sekin olisi aika mahtavaa.

Kännykän toimimisen koodilaitteena ideana on, että se voi olla vähemmän turvallinen mutta edullisempi ja kulkee mukana. Vähän niinkuin kännykän kamera. Ei se järjestelmäkameran veroinen ole, mutta kulkee kätevästi mukana ja sillä saa moneen tarkoitukseen riittävän hyviä kuvia.
 
Check Point huomasi että TP-Linkin reititinfirmiksistä on olemassa saastunut versio, joka mahdollistaa ”näkymättömän” liikkumisen sisäverkossa.

The implant features several malicious components, including a custom backdoor named “Horse Shell” that enables the attackers to maintain persistent access, build anonymous infrastructure and enable lateral movement into compromised networks.

The discovery is yet another example of a long-standing trend of Chinese threat actors to exploit Internet-facing network devices and modify their underlying software or firmware.

 
Senhän ei tietenkään tarvitsekaan olla turvallisempi. Jos se olisi edes yhtä turvallinen niin sekin olisi aika mahtavaa.

Kännykän toimimisen koodilaitteena ideana on, että se voi olla vähemmän turvallinen mutta edullisempi ja kulkee mukana. Vähän niinkuin kännykän kamera. Ei se järjestelmäkameran veroinen ole, mutta kulkee kätevästi mukana ja sillä saa moneen tarkoitukseen riittävän hyviä kuvia.
Kännykkä sovelluksessa on toisaalta tuo huono puoli että se on aina mukana. Ts. sulta voidaan ryöstää muutakin kuin lompsa ja luuri, myös tilille pääsee käsiksi.
 
Dedikoitu koodilaite on nykyaikaa mutta eipä pahvikortissakaan mitään olennaista vikaa ole.
Pahvikorteista haluttiin eroon, kun ikäihmisten korteista napsittiin kuvia salaa. Nuo ovat todella turvattomia nykypäivänä, kuten vihkoon kirjoitetut salasanatkin. Nyt pitää muistaa että asiasta puhutaan massojen näkökulmasta, eikä esim. pankkiholvia omistavasta yksineläjästä.
 
Pahvikorteista haluttiin eroon, kun ikäihmisten korteista napsittiin kuvia salaa. Nuo ovat todella turvattomia nykypäivänä, kuten vihkoon kirjoitetut salasanatkin. Nyt pitää muistaa että asiasta puhutaan massojen näkökulmasta, eikä esim. pankkiholvia omistavasta yksineläjästä.
Nykyäänhän ne pahvikortit toimivat niin että turvaluvun järjestysnumero tulee tekstiviestinä, jolloin sillä pelkällä pahvikortin kopiolla ei pääse kuin tarkastelemaan tilitapahtumia tms.
 
No tietysti jos sisään ei pääse itsekään, mutta en mä tuota miksikään positiiviseksi asiaksi miellä.

S-pankkiin voi kirjautua vaihtoehtoisesti tunnuslukutaulukolla ja Danskeen pääsee myös itsenäisellä tunnuslukulaitteella, tai vaihtoehtoisesti käyttämällä toisen pankin tunnistusta.
 
S-pankkiin voi kirjautua vaihtoehtoisesti tunnuslukutaulukolla ja Danskeen pääsee myös itsenäisellä tunnuslukulaitteella, tai vaihtoehtoisesti käyttämällä toisen pankin tunnistusta.
Onhan kaikilla pankeilla myös vaihtoehtoinen tunnistussysteemi jos ei ole älypuhelinta, tai halua käyttää appia.
 
Onhan kaikilla pankeilla myös vaihtoehtoinen tunnistussysteemi jos ei ole älypuhelinta, tai halua käyttää appia.

Juu, eli mikä on sitten ongelmana?
No tietysti jos sisään ei pääse itsekään, mutta en mä tuota miksikään positiiviseksi asiaksi miellä.

Eli jos kännykkä pöllitään, se joka pölli sen luurin, ei pääse tyhjentämään tiliä, vaikka toisin väitit:
Kännykkä sovelluksessa on toisaalta tuo huono puoli että se on aina mukana. Ts. sulta voidaan ryöstää muutakin kuin lompsa ja luuri, myös tilille pääsee käsiksi.

Ja itse tilinomistaja pääsee tilille edelleen sisään vaihtoehtoisella tavalla, kuten jo todettu.
 
Eli jos kännykkä pöllitään, se joka pölli sen luurin, ei pääse tyhjentämään tiliä, vaikka toisin väitit.

Ei, vaan sanoin että sulta voidaan ryöstää rahat myös tililtä, jos sulla on matkassa kännykkä jossa tuo pankin applikaatio.

Pöllimisestä (varastamisesta) en puhunut mitään.
 
Ei, vaan sanoin että sulta voidaan ryöstää rahat myös tililtä, jos sulla on matkassa kännykkä jossa tuo pankin applikaatio.

Pöllimisestä (varastamisesta) en puhunut mitään.

Eli tarkotatko sä nyt skenaariota, jossa varas pakottaa sut siirtämään rahat tililtä varkaan tilille? Vai mitä nyt haet?
 
Ei pääse, ainakaan Dansken ja S-pankin tapauksessa.
Jos ajatellaan pöllitty puhelin päätyisi niin taitavalle hakkerille, että hakkeri saisi huijattua puhelimen hyväksymään "biometrisen tunnistuksen", niin mikä sen nähdäksesi estäisi? Hakkeri käynnistää pankin sovelluksen, tunnistautuu huijaamalla sovellukselle että biometrinen tunnistus onnistui, tekee tilisiirron, vahvistaa jälleen huijaamalla sovellukselle biometrisen tunnistuksen. Jos iso siirto niin saa lisäksi vahvistuskoodin tekstiviestillä joka tulee samaan puhelimeen ja jonka saa naputeltua sovellukselle.

Ehkä jos ei oo ottanut biometristä tunnistusta käyttöön ja mikäli pankki hoitaa avainkoodin vahvistamisen puhtaasti palvelimen päässä ja avainkoodi on vaikea eikä kirjoitettu ylös mihinkään tai ei muuten urkittu, niin sitten onnistumisen todennäköisyys saattaa olla jopa vain 3/10 000.
 
Eli tarkotatko sä nyt skenaariota, jossa varas pakottaa sut siirtämään rahat tililtä varkaan tilille? Vai mitä nyt haet?
No ryöstö tarkoittaa sitä että sulta viedään omaisuutta väkivalloin tai väkivallalla uhkaamalla. Eli vaikka juuri suoraan ryöstäjän tilille.
 
Jos ajatellaan pöllitty puhelin päätyisi niin taitavalle hakkerille, että hakkeri saisi huijattua puhelimen hyväksymään "biometrisen tunnistuksen", niin mikä sen nähdäksesi estäisi? Hakkeri käynnistää pankin sovelluksen, tunnistautuu huijaamalla sovellukselle että biometrinen tunnistus onnistui, tekee tilisiirron, vahvistaa jälleen huijaamalla sovellukselle biometrisen tunnistuksen. Jos iso siirto niin saa lisäksi vahvistuskoodin tekstiviestillä joka tulee samaan puhelimeen ja jonka saa naputeltua sovellukselle.

Ehkä jos ei oo ottanut biometristä tunnistusta käyttöön ja mikäli pankki hoitaa avainkoodin vahvistamisen puhtaasti palvelimen päässä ja avainkoodi on vaikea eikä kirjoitettu ylös mihinkään tai ei muuten urkittu, niin sitten onnistumisen todennäköisyys saattaa olla jopa vain 3/10 000.
Ne jotka puhelimia vielä 2023 pöllii random yksittäisiltä henkilöiltä, niin eivät tuohon pysty.
Eri asia sitten yritystason kohdistettu hyökkäys ja siinäkin on arvokkaampaa päästä yritykseen käsiksi kuin yhden henkilön verkkopankkiin.
 
No ryöstö tarkoittaa sitä että sulta viedään omaisuutta väkivalloin tai väkivallalla uhkaamalla. Eli vaikka juuri suoraan ryöstäjän tilille.

Joo toki teoriatasolla mahdollista, mut imho aika kaukaa haettu et joku random tyyppi tulee ryöstämään sulta lompakon ja luurin, on varustaunu omalla, tai jonkun muun tilinumerolla minne rahat siirtää ja on vielä tarpeeksi kärsivällinen et jää paikalle odottelemaan tilisiirron läpivientiä.

Jos ajatellaan pöllitty puhelin päätyisi niin taitavalle hakkerille, että hakkeri saisi huijattua puhelimen hyväksymään "biometrisen tunnistuksen", niin mikä sen nähdäksesi estäisi? Hakkeri käynnistää pankin sovelluksen, tunnistautuu huijaamalla sovellukselle että biometrinen tunnistus onnistui, tekee tilisiirron, vahvistaa jälleen huijaamalla sovellukselle biometrisen tunnistuksen. Jos iso siirto niin saa lisäksi vahvistuskoodin tekstiviestillä joka tulee samaan puhelimeen ja jonka saa naputeltua sovellukselle.

Ehkä jos ei oo ottanut biometristä tunnistusta käyttöön ja mikäli pankki hoitaa avainkoodin vahvistamisen puhtaasti palvelimen päässä ja avainkoodi on vaikea eikä kirjoitettu ylös mihinkään tai ei muuten urkittu, niin sitten onnistumisen todennäköisyys saattaa olla jopa vain 3/10 000.

Kun pistää mielikuvituksen lentoon tuohon tyyliin, niin voihan sitä keksiä vaikka mitä skenaarioita...
 

Statistiikka

Viestiketjuista
257 508
Viestejä
4 475 228
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom