Juha Kokkonen
Ylläpidon jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 14 142
Muistakaas sitten pitää keskustelu riittävissä määrim ketjun aiheessa.
Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Vissii vähä vaikeampi pätsää, jos yli vuodessakaan ei ole saatu tehtyä.Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneista, iPadeista ja Mac-tietokoneista on löytynyt ikävä haavoittuvuus, joka altistaa käyttäjät monenlaisille vaaroille. Tietoturvatutkijoiden iLeakageksi ristimä haavoittuvuus vaanii esimerkiksi salasanoja.
iLeakage-haavoittuvuus Apple-laitteissa voi paljastaa hyökkääjälle salasanat ja muuta
Uusi haavoittuvuus uhkaa nyt Apple-laitteiden käyttäjiä. Vaarassa ovat esimerkiksi salasanat. Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneismobiili.fiNew iLeakage attack steals emails, passwords from Apple Safari
Academic researchers created a new speculative side-channel attack they named iLeakage that works on all recent Apple devices and can extract sensitive information from the Safari web browser.www.bleepingcomputer.com
Pistin Apple Silicon maccien Safariin tuon mitigationin päälle.Vissii vähä vaikeampi pätsää, jos yli vuodessakaan ei ole saatu tehtyä.
QNAP on julkaissut korjaavia ohjelmistopäivityksiä kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet mahdollistavat hyökkääjälle haavoittuvan järjestelmän etäkäytön. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.
Haavoittuvat QNAP-tuotteet ovat QTS, Multimediakonsoli, Media Streaming add-on, QuTS hero, ja QuTScloud. Tätä haavoittuvuutta hyödyntämällä hyökkääjä voi suorittaa mielivaltaisia komentoja haavoittuvalle laitteelle.
QNAP-tuotteiden haavoittuvat käyttöjärjestelmät ovat QTS, QuTS Hero sekä QuTScloud. Lisäksi QNAP-tuotteiden seuraavat lisäohjelmat ovat haavoittuvia: Multimediakonsoli, Media Streaming add-on. Hyökkääjä voi suorittaa mielivaltaista koodia verkon kautta.
Schibsted-tilisi salasana on poistettu käytöstä ja se tulee vaihtaa
Hyvä käyttäjä,
Schibsted on havainnut, että hiljattain tehdyn muutoksen johdosta sinun ja joidenkin muiden käyttäjien salasanoja on tallentunut sisäisiin lokitiedostoihimme. Olemme nyt korjanneet teknisen ongelman ja pyydämme sinua vaihtamaan salasanasi palauttaaksesi pääsyn käyttäjätilillesi.
Schibsted säilyttää käyttäjiensä salasanoja tietoturvallisesti ja suojattuna. Tietojärjestelmäämme hiljattain tehdyn muutoksen yhteydessä osa käyttäjien salasanoista tallentui kuitenkin selkokielisenä suojattuihin sisäisiin lokeihin, kun käyttäjä kirjautui Schibsted-tililleen.
Vain rajatulla määrällä työntekijöitämme oli pääsy näihin lokitiedostoihin. Salasanat eivät olleet missään vaiheessa saatavilla julkisesti tai näkyvillä toisille Schibsted-tilin käyttäjille ja olemme nyt poistaneet kyseiset tiedot.
Schibstedin käytäntöjen mukaan salasanoja ei koskaan tallenneta selkokielisenä. Sen sijaan käytämme nykyaikaisia salausmenetelmiä varmistaaksemme, että salasanat säilytetään turvallisesti tuotantojärjestelmissä. Schibstediä ei ole tapahtuneen yhteydessä hakkeroitu eikä tietomme ole muuten vaarantuneet.
Veikkaisin että salasanat on kyllä olleet tallessa hasheina mutta kirjautumisen yhteydessä varmaankin on mennyt johonkin webbiserverin tai vastaavan lokeihin. Ei sillä, kämmi se on sekin.Tori.fi / Schibstedillä käynyt pieni kämmi. Erikoista että tästä ei ilmoiteta missään sivustolla vaan tälläinen hämärä sähköposti tulee vain. Herättää kyllä kysymyksiä miksi selkokielisiä salasanoja on päätynyt logeihin, ajattelisi että nuo suolataan samantien.
Traficom/17011/09.04.00/2023
25.10.2023
Liikenne- ja viestintävirasto Traficom Kyberturvallisuuskeskus • PL 320, 00059 TRAFICOM
p. 029 534 5000 • Y-tunnus 2924753-3 kyberturvallisuuskeskus.fi
Ohje erillistyöasemien tietoturvallisuuden varmistamisesta
Microsoft’s Offensive Research and Security Engineering (MORSE) asked us to evaluate the security of the top three fingerprint sensors embedded in laptops and used for Windows Hello fingerprint authentication. Our research revealed multiple vulnerabilities that our team successfully exploited, allowing us to completely bypass Windows Hello authentication on all three laptops.
"kevyissä" palveluissa moni käyttää samaa salasanaa mikä jossain muuallakkin. ja jos se on logeissa salaamatta, niin onhan se riski jos niihiin pääsee joku ulkopuolinen, ja se että päässyt logiin, ei tarkoita että olisi päässyt muualle, saati tilille, siis tilanteissa missä se salasana olisi ainutlaatuinen.Mä aina ihmettelen tuota miksi salasanojen meneminen logeihin ois niin paha juttu, kun salasanoja ei kuitenkaan uudelleenkäytetä. Niin niillä joilla on pääsy niihin logeihin, on todnäk pääsy muihinkin järjestelmän osa-alueisiin jo olemassa. Jotenkin fokus salasanoihin noissa asioissa on jotenkin kummallista. Yhtä hyvin voisi ottaa salasanojen sijasta palvelun koko tietokannan tai lähdekoodin.
Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan. Mut nää on aina näitä. Pääsääntöisesti olisi hyvä, jos ei anna ulkopuolisiin palveluihin mitään luottamuksellista tietoa, ilman että tieto on salattuna. -> Pääsy palveluun, ei tarjoa pääsyä oikeastaan mihinkään millä olisi käytännössä mitään merkitystä. - Mut joo, nää on niin näitä itsestäänselvyyksiä, kuten käytiin tuossa Passkeys langassakin läpi. Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta."kevyissä" palveluissa moni käyttää samaa salasanaa mikä jossain muuallakkin. ja jos se on logeissa salaamatta, niin onhan se riski jos niihiin pääsee joku ulkopuolinen, ja se että päässyt logiin, ei tarkoita että olisi päässyt muualle, saati tilille, siis tilanteissa missä se salasana olisi ainutlaatuinen.
No, aiemmassa kommentissa lähinnä mietin tuota Tori.fi palvelua, ja sitä että sinne ei ollut tapahtunut tietomurtoa, saati rootti oikeuksilla, vaan joku moka millä tallennettu salasanoja lokiin. Ja kommentoin siltä kantilta riskiä.Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan....
Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan. Mut nää on aina näitä. Pääsääntöisesti olisi hyvä, jos ei anna ulkopuolisiin palveluihin mitään luottamuksellista tietoa, ilman että tieto on salattuna. -> Pääsy palveluun, ei tarjoa pääsyä oikeastaan mihinkään millä olisi käytännössä mitään merkitystä. - Mut joo, nää on niin näitä itsestäänselvyyksiä, kuten käytiin tuossa Passkeys langassakin läpi. Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta.
Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta.
Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.Eikö tämän saa enemmän tai vähemmän kiinni myös logeilla. Annetut komennot logeihin käyttäjiltä joilla oikeudet käsitellä varmuuskopioita/varmuuskopioiden avaimia, ja prosesseihin määritelmä, että henkilö ei saa käsitellä yksinään. ('tarkistin vain, että backup ei ole korruptoitunut') tjsp?
, tuskin tuon tyyppisessä toiminnassa.Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.
Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.
Mutta vakavammin, logien lukemiseen ei välttämättä mitään "rootti" oikeuksia tarvi. siis jos ajattelee jotain jollain tavalla onnistunutta hyökkäystä. Ja en sitäkään ihmettelisi jos ihan ylläpitokin pystyisi niitä selaileen ilman roottina olemista. Varmuuskopiotkin mainittu.
Ja jo vuosia on säikytty ja mollattu jos jossain murrossa käynyt ilmi että salasanat olleet selkokielisenä, edes siellä missä suunniteltu.
Logisana loi mielikuvia, mutta uutinen ei tainnut avata että mistä logeista kyse.Ja logeja tuskin varmuuskopioitu, ainakaan samalla tavalla
Logejakin varmuuskopioidaan, ja jos siellä on GDPR dataa, niin niitä logejakin pitää käsitellä sen mukaisesti.
Tottakai lokeissa on henkilödataa. Eihän tarvitse ottaa kuin kirjautumislokit eli se audit trail, joka on kaikista tärkein ja oleellisin monesti.Toki. Harvoin varmaan tarkoituksella on.
Apple julkaisi eilen päivityksiä niin korjattu tuo CVE-2023-45866.Tässä toinen Bluetooh haavoittuvuus.
A critical Bluetooth security flaw could be exploited by threat actors to take control of Android, Linux, macOS and iOS devices.
Tracked as CVE-2023-45866, the issue relates to a case of authentication bypass that enables attackers to connect to susceptible devices and inject keystrokes to achieve code execution as the victim.
New Bluetooth Flaw Let Hackers Take Over Android, Linux, macOS, and iOS Devices
A major Bluetooth security flaw, CVE-2023-45866 could allow threat actors to take control of Android, Linux, macOS, and iOS devices.thehackernews.com
Jotenkin oletan, että teillä kaikilla on SUG infot päällä, mutta jos joku n00b on jäänyt niistä paitsi, niin tässä Windowssin viralliset joulukuun patchit.
9.6 / 10 on näköjään korkeimmalle reitattu exploitti:
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
Testauksen perusteella haavoittuvia salasananhallintaohjelmia on muun muassa 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 ja Keepass2Android 1.09c-r0.
Eri tekniikkaa käyttävät Google Smart Lock 13.30.8.26 ja DashLane 6.2221.3 eivät perustasolla vuotaneet tunnuksia, mutta jos javascriptin syöttäminen oli sallittua, niin nekin saatiin taipumaan.
Ymmärsinkö oikein, eli jos normaali prosessi on se että käyttäjä valitsee automaattisen täytön ja sen jälkeen "tunnistautuu" salasana holviin, niin sinne menee sinne se tunnus salasana pari mitä holvilta pyydetään. Riski on siinä jos joku tuttu palvelu päättää hyökätä, ja sille on määritellyt sen verran automaattisen ettei holvi paljoa kysele, vaan tuuppaa suoraan. Eli vähän riippuu asetuksista ja holviohjelmasta. Ja ilmeisesti tämä ei koske normiselaimia. vaan sovellusta web näkymiä.AutoSpill attack steals credentials from Android password managers
Security researchers developed a new attack, which they named AutoSpill, to steal account credentials on Android during the autofill operation.www.bleepingcomputer.comAndroid-laitteilta voi varastaa salasanoja – koskee näitä salasanamanagereita
Hyökkäystekniikoita esiteltiin Black Hat Europe -tapahtumassa.www.tivi.fi
Kyberturvallisuuskeskuksen viikokatsauksen innoittamana on käyty keskusteltua tuolla "mesh rauta" säikeessä. Ehkä sopii paremmin pohtia pohdintaan tässä ketjussa, onko nuo TP-link Deco:t turvallisia vai ei. Itse tilasin 3kpl Mesh setin X50:iä, mutta palautan ne johtuen siitä, ettei etähallintaa saa edelleenkään pois -Sama ongelma on ollut Decoissa jo vuosiaVaroituksena tähänkin ketjuun, kun TP-link Deco on aika usein käytetty mesh verkoissa
"Tietojemme mukaan viimeisen viikon aikana Mirai-bottiverkko on hyödyntänyt TP-Link Deco -laitteita, jotka ovat olleet suoraan verkkoon yhteydessä. Suurella todennäköisyydellä kyseessä olevat laitteet ovat verkossa turvattomilla oletusasetuksilla. "Kyberturvallisuuskeskuksen viikkokatsaus - 50/2023 | Kyberturvallisuuskeskus
Tällä viikolla kerromme mm. WhatsAppissa liikkuvista rekrytointihuijauksista. Muistutamme myös, mitä tulee ottaa huomioon uuden älylaitteen hankinnassa ja käyttöönotossa.www.kyberturvallisuuskeskus.fi
Eihän Decoja "pysty" oletusasetuksilla edes käyttämään. Eikös niihin ole aina tehtävä käyttöönotto (kirjautuminen TP-link tilillä ja salasanalla), jotta ne saa toimimaan. Eli tieturvaongelma on syvemmällä kuin vuosia sitten olleissa perusreisittimissa, joissa saattoi olla hallintakäytttöliittymä internettiin auki oletussalasanalla admin/admin ?
Ei
Tuo ominaisuushan oli vuosia sitten jo tietoturvariski ja hallinta kehoitettiin merkistä riippumatta ottamaan kaikista laitteista WAN puolelta pois, mutta ei. Decoista sitä ei saa pois. Eikä TP-link:llä ole suunnitelmissa sallia tuon ominaisuuden pois kytkemistä tulevaisuudessakaan
"only remote access is via Deco APP from TP-Link own cloud server. "
"there is no plan to turn off remote control/management via Deco APP"
Serious security flaw in Deco X60 - No way to disable remote management - Home Network Community
Hey, Just picked up a Deco X60 at Costco. Here are some serious design flaws and some areas that need improvement for this to be competitive. Speeds are more than adequate for my needs, the issue I have is with features and functions. 1)community.tp-link.com
Kyseessä on ilmeisesti siis nimenomaan pilvihallinta, kun Decoissa ei ole paikallista web- tms. hallintaa ollenkaan..., onko nuo TP-link Deco:t turvallisia vai ei. Itse tilasin 3kpl Mesh setin X50:iä, mutta palautan ne johtuen siitä, ettei etähallintaa saa edelleenkään pois -Sama ongelma on ollut Decoissa jo vuosia
On niissä paikallinenkin hallintamahdollisuus, joskin riisuttuun appiin verrattunakin entisestään karsittu. Mutta kyllä, kyseinen "ongelmallinen" etähallinta on pilviyhteys ja sitä se puhelinsovellus käyttääKyseessä on ilmeisesti siis nimenomaan pilvihallinta, kun Decoissa ei ole paikallista web- tms. hallintaa ollenkaan
Normaalikäyttäjä ei voi juurikaan tehdä muuta kuin asentaa firmispäivityksen tai antaa restartin Decoille. Tämä CVE löytyi Deco M4 firmiksestä muttei muuta NVD - CVE-2023-40193. KTK:n jutusta ei löydy tarkempaa speksiä mistä Deco-malleista on kyse. Tuo haavoittuvuus on voinut olla muidenkin mallien firmiksissä tai sitten kyseessä on uusi.On niissä paikallinenkin hallintamahdollisuus, joskin riisuttuun appiin verrattunakin entisestään karsittu. Mutta kyllä, kyseinen "ongelmallinen" etähallinta on pilviyhteys ja sitä se puhelinsovellus käyttää
If we try to describe this feature and how the attackers took advantage of it, it all comes down to this: they are able to write data to a certain physical address while bypassing the hardware-based memory protection by writing the data, destination address, and data hash to unknown hardware registers of the chip unused by the firmware.
Tarkoittaako tämä nyt sitä että Lenovo on kiellettyjen listalla julkisessa halinnossa ja kriittisissä yksityiskohteissa, vai kokonaan kielletty ? yhdysvalloissa ? ja uushankintaa, vai pitääkö vanhojakin siivota pois ?USA:ssa SLAC National Accelerator Laboratory bannasi Lenovon USA:n energia- ja turvallisuusvirastojen kehotuksesta.
- Microsoft confirmed that the HP Smart app is being installed on some Windows 11 and Windows 10 PCs without permission.
- A related issue renames printers as HP printers regardless of their actual manufacturer.
- Microsoft will investigate the issue and share a fix when it becomes available.
Just tuli tuosta uusi uutinen vastaan, MS korjannut tuon mutta samalla tehnyt uuden reiän hakkereille. Tosin tuohonkin ilmeisesti on jo paikka.Kävi muutama päivä sitten erikoinen tapaus, kun Windows 10 koneeni halusi asentaa/päivittää HP:n Smart ohjelmiston, ei sinänsä outoa kun ohjelma päivittyy. Mutta kun en käytä mitään HP:n laitteita kotona ja en ole koneeseeni kytkenyt myöskään mitään HP:n laitteita missään vaiheessa. Ilmeisesti tämä olikin jokin yleinen ongelma sitten lopuksi, että Windows (10/11) asentaa tämän itsestään:
Windows 11 installs HP Smart app without your permission and renames your printers, confirms Microsoft
Tunnettujen palveluiden salasanoja vuotanut hakkereille – asiantuntijan mukaan voi koskea myös suomalaisten tunnuksia
Arviolta kaksi viikkoa sitten tapahtuneen tietokantamurron seurauksena Paypalin, Netflixin ja Facebookin salasanoja epäillään päätyneen hakkereille.yle.fi
Itselläkin oli ainakin facebookin salasana saatu.
Onko tässä mitään järkeä (jos on, niin osaatteko selittää yksityiskohtaisemmin):Tunnettujen palveluiden salasanoja vuotanut hakkereille – asiantuntijan mukaan voi koskea myös suomalaisten tunnuksia
Arviolta kaksi viikkoa sitten tapahtuneen tietokantamurron seurauksena Paypalin, Netflixin ja Facebookin salasanoja epäillään päätyneen hakkereille.yle.fi
Itselläkin oli ainakin facebookin salasana saatu.
Turhaan salasanaa ei kuitenkaan Järvisen mukaan kannata vaihtaa, koska siinä piilee tietoturvariski. Salasanan palauttamisen yhteydessä hakkerit saattavat esimerkiksi hyödyntää tilaisuuden ja käydä klikkaamassa palautusviestiä ennen oikeaa käyttäjää.