Tietoturvauutiset ja blogipostaukset

[Juha Kokkonen]

Muistakaas sitten pitää keskustelu riittävissä määrim ketjun aiheessa.

 

[user9999]

Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneista, iPadeista ja Mac-tietokoneista on löytynyt ikävä haavoittuvuus, joka altistaa käyttäjät monenlaisille vaaroille. Tietoturvatutkijoiden iLeakageksi ristimä haavoittuvuus vaanii esimerkiksi salasanoja.

iLeakage

iLeakage-haavoittuvuus Apple-laitteissa voi paljastaa hyökkääjälle salasanat ja muuta

Uusi haavoittuvuus uhkaa nyt Apple-laitteiden käyttäjiä. Vaarassa ovat esimerkiksi salasanat. Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneis

mobiili.fi

New iLeakage attack steals emails, passwords from Apple Safari

Academic researchers created a new speculative side-channel attack they named iLeakage that works on all recent Apple devices and can extract sensitive information from the Safari web browser.

www.bleepingcomputer.com

 

[leripe]

Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneista, iPadeista ja Mac-tietokoneista on löytynyt ikävä haavoittuvuus, joka altistaa käyttäjät monenlaisille vaaroille. Tietoturvatutkijoiden iLeakageksi ristimä haavoittuvuus vaanii esimerkiksi salasanoja.

iLeakage

iLeakage-haavoittuvuus Apple-laitteissa voi paljastaa hyökkääjälle salasanat ja muuta

Uusi haavoittuvuus uhkaa nyt Apple-laitteiden käyttäjiä. Vaarassa ovat esimerkiksi salasanat. Applen A- ja M-sarjan piirejä hyödyntävistä iPhoneis

mobiili.fi

New iLeakage attack steals emails, passwords from Apple Safari

Academic researchers created a new speculative side-channel attack they named iLeakage that works on all recent Apple devices and can extract sensitive information from the Safari web browser.

www.bleepingcomputer.com

Vissii vähä vaikeampi pätsää, jos yli vuodessakaan ei ole saatu tehtyä.

 

[user9999]

Vissii vähä vaikeampi pätsää, jos yli vuodessakaan ei ole saatu tehtyä.

Pistin Apple Silicon maccien Safariin tuon mitigationin päälle.

How can I defend against iLeakage?
At the time of public release, Apple has implemented a mitigation for iLeakage in Safari. However, this mitigation is not enabled by default, and enabling it is possible only on macOS. Furthermore, it is marked as unstable.

Spoileri

 

[maninthemoon]

Pistetään tänne myös, kun laitoin tuonne kaupalliset NAS-laitteet säikeeseen myös uutisen QNAPin haavoittuvuudesta.

Kriittisiä haavoittuvuuksia QNAP NAS -laitteissa | Kyberturvallisuuskeskus

QNAP on julkaissut korjaavia ohjelmistopäivityksiä kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet mahdollistavat hyökkääjälle haavoittuvan järjestelmän etäkäytön. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.

www.kyberturvallisuuskeskus.fi

QNAP on julkaissut korjaavia ohjelmistopäivityksiä kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet mahdollistavat hyökkääjälle haavoittuvan järjestelmän etäkäytön. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.

Haavoittuvat QNAP-tuotteet ovat QTS, Multimediakonsoli, Media Streaming add-on, QuTS hero, ja QuTScloud. Tätä haavoittuvuutta hyödyntämällä hyökkääjä voi suorittaa mielivaltaisia komentoja haavoittuvalle laitteelle.

QNAP-tuotteiden haavoittuvat käyttöjärjestelmät ovat QTS, QuTS Hero sekä QuTScloud. Lisäksi QNAP-tuotteiden seuraavat lisäohjelmat ovat haavoittuvia: Multimediakonsoli, Media Streaming add-on. Hyökkääjä voi suorittaa mielivaltaista koodia verkon kautta.

 

[Infy]

EU on suunnittelemassa uutta lainsäädäntöä eIDAS 2.0 säädöskokoelmassa. Mikäli siitä vuodettua lähdeaineistoa on tulkittu oikein, antaisi se EU:lle keinot murtaa selainten HTTPS-salauksen ja näin vakoilla EU-kansalaisten verkkoliikennettä. Teknisellä tasolla tämä toimisi siten, että selainten olisi luotettava EU:n määräämiä juurivarmenteiden myöntäjiä ilman poikkeuksia ja tarkistuksia. Tämä antaisi keinot väärentää web-sivustojen TLS-sertifikaatteja ja toteuttaa välimieshyökkäyksiä.

What the QWAC?!

Almost 2 years on from the last time I wrote about QWACs, I'm sadly not here to tell you that things have gone well since then. In fact, I'm actually here to tell you that things are not going well at all... QWAC Back in Jan 2022, I wrote a

scotthelme.co.uk

Europe prepares to break browser security with eIDAS 2.0

EFF warns incoming rules may return web 'to the dark ages of 2011'

www.theregister.com

 

[Tabbe]

Tori.fi / Schibstedillä käynyt pieni kämmi. Erikoista että tästä ei ilmoiteta missään sivustolla vaan tälläinen hämärä sähköposti tulee vain. Herättää kyllä kysymyksiä miksi selkokielisiä salasanoja on päätynyt logeihin, ajattelisi että nuo suolataan samantien.

Schibsted-tilisi salasana on poistettu käytöstä ja se tulee vaihtaa
Hyvä käyttäjä,

Schibsted on havainnut, että hiljattain tehdyn muutoksen johdosta sinun ja joidenkin muiden käyttäjien salasanoja on tallentunut sisäisiin lokitiedostoihimme. Olemme nyt korjanneet teknisen ongelman ja pyydämme sinua vaihtamaan salasanasi palauttaaksesi pääsyn käyttäjätilillesi.

Schibsted säilyttää käyttäjiensä salasanoja tietoturvallisesti ja suojattuna. Tietojärjestelmäämme hiljattain tehdyn muutoksen yhteydessä osa käyttäjien salasanoista tallentui kuitenkin selkokielisenä suojattuihin sisäisiin lokeihin, kun käyttäjä kirjautui Schibsted-tililleen.

Vain rajatulla määrällä työntekijöitämme oli pääsy näihin lokitiedostoihin. Salasanat eivät olleet missään vaiheessa saatavilla julkisesti tai näkyvillä toisille Schibsted-tilin käyttäjille ja olemme nyt poistaneet kyseiset tiedot.

Schibstedin käytäntöjen mukaan salasanoja ei koskaan tallenneta selkokielisenä. Sen sijaan käytämme nykyaikaisia salausmenetelmiä varmistaaksemme, että salasanat säilytetään turvallisesti tuotantojärjestelmissä. Schibstediä ei ole tapahtuneen yhteydessä hakkeroitu eikä tietomme ole muuten vaarantuneet.

 

[Hyrava]

Tori.fi / Schibstedillä käynyt pieni kämmi. Erikoista että tästä ei ilmoiteta missään sivustolla vaan tälläinen hämärä sähköposti tulee vain. Herättää kyllä kysymyksiä miksi selkokielisiä salasanoja on päätynyt logeihin, ajattelisi että nuo suolataan samantien.

Veikkaisin että salasanat on kyllä olleet tallessa hasheina mutta kirjautumisen yhteydessä varmaankin on mennyt johonkin webbiserverin tai vastaavan lokeihin. Ei sillä, kämmi se on sekin.

 

[ztec]

Mä aina ihmettelen tuota miksi salasanojen meneminen logeihin ois niin paha juttu, kun salasanoja ei kuitenkaan uudelleenkäytetä. Niin niillä joilla on pääsy niihin logeihin, on todnäk pääsy muihinkin järjestelmän osa-alueisiin jo olemassa. Jotenkin fokus salasanoihin noissa asioissa on jotenkin kummallista. Yhtä hyvin voisi ottaa salasanojen sijasta palvelun koko tietokannan tai lähdekoodin.

 

[ztec]

Jos sattuu nappaamaan, niin tässä oli Kyberturvallisuusvirastolta ohjeita sen suhteen miten suojaus tulisi hoitaa, jos halutaan käsitellä luottamuksellisia tietoja koneessa:

https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Ohje_erillistyoasemien_tietoturvallisuuden_varmistamisesta.pdf

Traficom/17011/09.04.00/2023
25.10.2023
Liikenne- ja viestintävirasto Traficom Kyberturvallisuuskeskus • PL 320, 00059 TRAFICOM
p. 029 534 5000 • Y-tunnus 2924753-3 kyberturvallisuuskeskus.fi
Ohje erillistyöasemien tietoturvallisuuden varmistamisesta

 

[TenderBeef]

Security researchers bypass Windows Hello fingerprint authentication - gHacks Tech News

Security researchers managed to bypass Windows Hello fingerprint authentication on devices with three widely used sensors.

www.ghacks.net

A Touch of Pwn - Part I

Blackwing Intelligence provides high-end security engineering, analysis, and research services for engineering focused organizations

blackwinghq.com

Microsoft’s Offensive Research and Security Engineering (MORSE) asked us to evaluate the security of the top three fingerprint sensors embedded in laptops and used for Windows Hello fingerprint authentication. Our research revealed multiple vulnerabilities that our team successfully exploited, allowing us to completely bypass Windows Hello authentication on all three laptops.

 

[tombe0]

Google Chrome emergency update fixes 6th zero-day exploited in 2023
Kannattaa varmistaa että Chrome on päivitetty versioon .199/.200

 

[pulatunnus]

Mä aina ihmettelen tuota miksi salasanojen meneminen logeihin ois niin paha juttu, kun salasanoja ei kuitenkaan uudelleenkäytetä. Niin niillä joilla on pääsy niihin logeihin, on todnäk pääsy muihinkin järjestelmän osa-alueisiin jo olemassa. Jotenkin fokus salasanoihin noissa asioissa on jotenkin kummallista. Yhtä hyvin voisi ottaa salasanojen sijasta palvelun koko tietokannan tai lähdekoodin.

"kevyissä" palveluissa moni käyttää samaa salasanaa mikä jossain muuallakkin. ja jos se on logeissa salaamatta, niin onhan se riski jos niihiin pääsee joku ulkopuolinen, ja se että päässyt logiin, ei tarkoita että olisi päässyt muualle, saati tilille, siis tilanteissa missä se salasana olisi ainutlaatuinen.

 

[ztec]

"kevyissä" palveluissa moni käyttää samaa salasanaa mikä jossain muuallakkin. ja jos se on logeissa salaamatta, niin onhan se riski jos niihiin pääsee joku ulkopuolinen, ja se että päässyt logiin, ei tarkoita että olisi päässyt muualle, saati tilille, siis tilanteissa missä se salasana olisi ainutlaatuinen.

Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan. Mut nää on aina näitä. Pääsääntöisesti olisi hyvä, jos ei anna ulkopuolisiin palveluihin mitään luottamuksellista tietoa, ilman että tieto on salattuna. -> Pääsy palveluun, ei tarjoa pääsyä oikeastaan mihinkään millä olisi käytännössä mitään merkitystä. - Mut joo, nää on niin näitä itsestäänselvyyksiä, kuten käytiin tuossa Passkeys langassakin läpi. Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta.

 

[pulatunnus]

Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan....

No, aiemmassa kommentissa lähinnä mietin tuota Tori.fi palvelua, ja sitä että sinne ei ollut tapahtunut tietomurtoa, saati rootti oikeuksilla, vaan joku moka millä tallennettu salasanoja lokiin. Ja kommentoin siltä kantilta riskiä.

Sillä aika iso merkitys onko salasana tallennettu selkokielisenä, saati sitten onko ne tallennettu johonkin random lokiin.

 

[jpp]

Jos mulla on rootit palvelimelle missä on palvelut, datat ja logit. Niin vaikka logissa ei olisi salasanoja, on triviaalia muuttaa järjestelmän koodia niin, että se vaikka toimittaa ne salasanat suoraan mulle, tai laittaa ne logiin. Tai sitten voin ottaa koko palvelun tietokannan ja kaikki tiedot, sen sijaan että tyytyisin logeissa olevaan salasanaan. Mut nää on aina näitä. Pääsääntöisesti olisi hyvä, jos ei anna ulkopuolisiin palveluihin mitään luottamuksellista tietoa, ilman että tieto on salattuna. -> Pääsy palveluun, ei tarjoa pääsyä oikeastaan mihinkään millä olisi käytännössä mitään merkitystä. - Mut joo, nää on niin näitä itsestäänselvyyksiä, kuten käytiin tuossa Passkeys langassakin läpi. Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta.

Monessa paikassa voi olla logeihin pääsy (Kibana, Graylog tms) ilman, että on minkäänlaista pääsyä palvelimille, palveluihin tai dataan.

 

[ojisama]

Samoin aina jaksaa viihdyttää noi kommentit pääsynvalvonnasta tietoihin, jos esim. otan järjestelmän varmuuskopion tai vaikka levy-imagen, ja kaivan siitä tiedot. Niin missä pääsynvalvonnan logeissa silloin näkyy, että olen luvattomasti katsonut tietoja? Tai toisin päin, jos haluaa mahdollistaa pääsyn tietoihin, lisää yhden rivin, missä salasana tarkistus ohitetaan kokonaan tms. Tietoturva on usein tosi ohutta tai täysin olematonta.

Eikö tämän saa enemmän tai vähemmän kiinni myös logeilla. Annetut komennot logeihin käyttäjiltä joilla oikeudet käsitellä varmuuskopioita/varmuuskopioiden avaimia, ja prosesseihin määritelmä, että henkilö ei saa käsitellä yksinään. ('tarkistin vain, että backup ei ole korruptoitunut') tjsp?

 

[leripe]

Eikö tämän saa enemmän tai vähemmän kiinni myös logeilla. Annetut komennot logeihin käyttäjiltä joilla oikeudet käsitellä varmuuskopioita/varmuuskopioiden avaimia, ja prosesseihin määritelmä, että henkilö ei saa käsitellä yksinään. ('tarkistin vain, että backup ei ole korruptoitunut') tjsp?

Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.

 

[pulatunnus]

Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.

, tuskin tuon tyyppisessä toiminnassa.
Mutta vakavammin, logien lukemiseen ei välttämättä mitään "rootti" oikeuksia tarvi. siis jos ajattelee jotain jollain tavalla onnistunutta hyökkäystä. Ja en sitäkään ihmettelisi jos ihan ylläpitokin pystyisi niitä selaileen ilman roottina olemista. Varmuuskopiotkin mainittu.

Ja jo vuosia on säikytty ja mollattu jos jossain murrossa käynyt ilmi että salasanat olleet selkokielisenä, edes siellä missä suunniteltu.

Hyvää toki että oma valvontaa ja virheeseen reakoitiin.

 

[ojisama]

Hahah joo tollaisia tupla henkilö juttuja on ehkä elokuvissa ja jossain extra extra hyshys tai inttijutuissa.

Juu, mutta eihän tuo nyt olisi hankala järjestää. Lähinnä otin kantaa siihen, ettei toi ole mikään ratkaisematon ongelma. Kyllä meillä kryptataan backupit, palvelimella vain pub osuus avaimesta. Toistaiseksi ollaan pärjätty 'luotetuilla henkilöillä, joilla teoriassa olisi pääsy', mutta ei nähdäkseni olisi erityisen hankalaa järjestää asioita niin, että avaimeen ja tiedostoihin on eri ryhmillä pääsy. Jos käsiteltäisiin GDPR:n arkaluonteiseksi luokittelemaa dataa (tyyliin lapset, terveystiedot), niin todennäköisesti harkitsisin jotain tuollaista, sekä firman että työntekijöiden oikeusturvan takaamiseksi.

Mutta vakavammin, logien lukemiseen ei välttämättä mitään "rootti" oikeuksia tarvi. siis jos ajattelee jotain jollain tavalla onnistunutta hyökkäystä. Ja en sitäkään ihmettelisi jos ihan ylläpitokin pystyisi niitä selaileen ilman roottina olemista. Varmuuskopiotkin mainittu.

Ja jo vuosia on säikytty ja mollattu jos jossain murrossa käynyt ilmi että salasanat olleet selkokielisenä, edes siellä missä suunniteltu.

Eiköhän ne varmuuskopioissa, ja muutenkin, ne salasanat ole hasheina. (Ja logeja tuskin varmuuskopioitu, ainakaan samalla tavalla). Käyttäjän vain hankala syöttää oma salasanansa valmiiksi kryptattuna, mistä noita logeihin sitten menee, isoillakin toimijoilla.

 

[pulatunnus]

Ja logeja tuskin varmuuskopioitu, ainakaan samalla tavalla

Logisana loi mielikuvia, mutta uutinen ei tainnut avata että mistä logeista kyse.

Logejakin varmuuskopioidaan, ja jos siellä on GDPR dataa, niin niitä logejakin pitää käsitellä sen mukaisesti.

 

[ojisama]

Logejakin varmuuskopioidaan, ja jos siellä on GDPR dataa, niin niitä logejakin pitää käsitellä sen mukaisesti.

Toki. Harvoin varmaan tarkoituksella on.

 

[leripe]

Toki. Harvoin varmaan tarkoituksella on.

Tottakai lokeissa on henkilödataa. Eihän tarvitse ottaa kuin kirjautumislokit eli se audit trail, joka on kaikista tärkein ja oleellisin monesti.
Ja tottakai lokeista monesti halutaan backup tai kopiointi eli myös backupeissa on.
Onhan ihan perus windows palvelimenkin full backupissa henkilötietoa käyttäjistä ja kirjautumisista.
Nämä asiat on iha basic asioita yrityksissä.
Se, että lokiin päätyy passuja selkokielisenä, niin yleisin käyttäjämoka lienee kirjoittaa tai pasteta se salasana käyttäjätunnus kohtaan. Silloin se lokittuu selkokielisenä lokien hallintajärjestelmään ja backuppeihin saakka.

 

[ztec]

Ja Bluetooth on aina rikki, ei yllätä tämäkään. Voi tarkkailla mennyttä ja tulevaa viestintää bluetoothin yli, sekä muokata sitä lennossa.
BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses | Daniele Antonioli
TL;DR; MitM ja heikot salausavaimet -> fail

 

[Infy]

Tässä toinen Bluetooh haavoittuvuus.

A critical Bluetooth security flaw could be exploited by threat actors to take control of Android, Linux, macOS and iOS devices.

Tracked as CVE-2023-45866, the issue relates to a case of authentication bypass that enables attackers to connect to susceptible devices and inject keystrokes to achieve code execution as the victim.

New Bluetooth Flaw Let Hackers Take Over Android, Linux, macOS, and iOS Devices

A major Bluetooth security flaw, CVE-2023-45866 could allow threat actors to take control of Android, Linux, macOS, and iOS devices.

thehackernews.com

 

[user9999]

Tässä toinen Bluetooh haavoittuvuus.

A critical Bluetooth security flaw could be exploited by threat actors to take control of Android, Linux, macOS and iOS devices.

Tracked as CVE-2023-45866, the issue relates to a case of authentication bypass that enables attackers to connect to susceptible devices and inject keystrokes to achieve code execution as the victim.

New Bluetooth Flaw Let Hackers Take Over Android, Linux, macOS, and iOS Devices

A major Bluetooth security flaw, CVE-2023-45866 could allow threat actors to take control of Android, Linux, macOS, and iOS devices.

thehackernews.com

Apple julkaisi eilen päivityksiä niin korjattu tuo CVE-2023-45866.

Spoileri

Bluetooth
Available for: macOS Sonoma
Impact: An attacker in a privileged network position may be able to inject keystrokes by spoofing a keyboard
Description: The issue was addressed with improved checks.
CVE-2023-45866: Marc Newlin of SkySafe

Bluetooth
Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Impact: An attacker in a privileged network position may be able to inject keystrokes by spoofing a keyboard
Description: The issue was addressed with improved checks.
CVE-2023-45866: Marc Newlin of SkySafe
Entry added December 11, 2023

Apple security releases - Apple Support

This document lists security updates and Rapid Security Responses for Apple software.

support.apple.com

 

[ztec]

Jotenkin oletan, että teillä kaikilla on SUG infot päällä, mutta jos joku n00b on jäänyt niistä paitsi, niin tässä Windowssin viralliset joulukuun patchit.

9.6 / 10 on näköjään korkeimmalle reitattu exploitti:

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[Infy]

Jotenkin oletan, että teillä kaikilla on SUG infot päällä, mutta jos joku n00b on jäänyt niistä paitsi, niin tässä Windowssin viralliset joulukuun patchit.

9.6 / 10 on näköjään korkeimmalle reitattu exploitti:

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

Siellähän on kaikkea kivaa tällä kertaa, mm. Outlookissa bugi missä pelkkä haitallisen sähköpostin avaaminen aiheuttaa RCE:n.

"The attacker could exploit this vulnerability by sending a specially crafted email which triggers automatically when it is retrieved and processed by the Outlook client. This could lead to exploitation BEFORE the email is viewed in Outlook."

 

[TenderBeef]

AutoSpill attack steals credentials from Android password managers

Security researchers developed a new attack, which they named AutoSpill, to steal account credentials on Android during the autofill operation.

www.bleepingcomputer.com

Android-laitteilta voi varastaa salasanoja – koskee näitä salasanamanagereita

Hyökkäystekniikoita esiteltiin Black Hat Europe -tapahtumassa.

www.tivi.fi

Testauksen perusteella haavoittuvia salasananhallintaohjelmia on muun muassa 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 ja Keepass2Android 1.09c-r0.

Eri tekniikkaa käyttävät Google Smart Lock 13.30.8.26 ja DashLane 6.2221.3 eivät perustasolla vuotaneet tunnuksia, mutta jos javascriptin syöttäminen oli sallittua, niin nekin saatiin taipumaan.

 

[pulatunnus]

AutoSpill attack steals credentials from Android password managers

Security researchers developed a new attack, which they named AutoSpill, to steal account credentials on Android during the autofill operation.

www.bleepingcomputer.com

Android-laitteilta voi varastaa salasanoja – koskee näitä salasanamanagereita

Hyökkäystekniikoita esiteltiin Black Hat Europe -tapahtumassa.

www.tivi.fi

Ymmärsinkö oikein, eli jos normaali prosessi on se että käyttäjä valitsee automaattisen täytön ja sen jälkeen "tunnistautuu" salasana holviin, niin sinne menee sinne se tunnus salasana pari mitä holvilta pyydetään. Riski on siinä jos joku tuttu palvelu päättää hyökätä, ja sille on määritellyt sen verran automaattisen ettei holvi paljoa kysele, vaan tuuppaa suoraan. Eli vähän riippuu asetuksista ja holviohjelmasta. Ja ilmeisesti tämä ei koske normiselaimia. vaan sovellusta web näkymiä.

 

[Jamboa]

Varoituksena tähänkin ketjuun, kun TP-link Deco on aika usein käytetty mesh verkoissa

Kyberturvallisuuskeskuksen viikkokatsaus - 50/2023 | Kyberturvallisuuskeskus

Tällä viikolla kerromme mm. WhatsAppissa liikkuvista rekrytointihuijauksista. Muistutamme myös, mitä tulee ottaa huomioon uuden älylaitteen hankinnassa ja käyttöönotossa.

www.kyberturvallisuuskeskus.fi

"Tietojemme mukaan viimeisen viikon aikana Mirai-bottiverkko on hyödyntänyt TP-Link Deco -laitteita, jotka ovat olleet suoraan verkkoon yhteydessä. Suurella todennäköisyydellä kyseessä olevat laitteet ovat verkossa turvattomilla oletusasetuksilla. "

Eihän Decoja "pysty" oletusasetuksilla edes käyttämään. Eikös niihin ole aina tehtävä käyttöönotto (kirjautuminen TP-link tilillä ja salasanalla), jotta ne saa toimimaan. Eli tieturvaongelma on syvemmällä kuin vuosia sitten olleissa perusreisittimissa, joissa saattoi olla hallintakäytttöliittymä internettiin auki oletussalasanalla admin/admin ?

Kyberturvallisuuskeskuksen viikokatsauksen innoittamana on käyty keskusteltua tuolla "mesh rauta" säikeessä. Ehkä sopii paremmin pohtia pohdintaan tässä ketjussa, onko nuo TP-link Deco:t turvallisia vai ei. Itse tilasin 3kpl Mesh setin X50:iä, mutta palautan ne johtuen siitä, ettei etähallintaa saa edelleenkään pois -Sama ongelma on ollut Decoissa jo vuosia

Ei
Tuo ominaisuushan oli vuosia sitten jo tietoturvariski ja hallinta kehoitettiin merkistä riippumatta ottamaan kaikista laitteista WAN puolelta pois, mutta ei. Decoista sitä ei saa pois. Eikä TP-link:llä ole suunnitelmissa sallia tuon ominaisuuden pois kytkemistä tulevaisuudessakaan
"only remote access is via Deco APP from TP-Link own cloud server. "
"there is no plan to turn off remote control/management via Deco APP"

Serious security flaw in Deco X60 - No way to disable remote management - Home Network Community

Hey, Just picked up a Deco X60 at Costco. Here are some serious design flaws and some areas that need improvement for this to be competitive. Speeds are more than adequate for my needs, the issue I have is with features and functions. 1)

community.tp-link.com

 

[mikajh]

..., onko nuo TP-link Deco:t turvallisia vai ei. Itse tilasin 3kpl Mesh setin X50:iä, mutta palautan ne johtuen siitä, ettei etähallintaa saa edelleenkään pois -Sama ongelma on ollut Decoissa jo vuosia

Kyseessä on ilmeisesti siis nimenomaan pilvihallinta, kun Decoissa ei ole paikallista web- tms. hallintaa ollenkaan

 

[Jamboa]

Kyseessä on ilmeisesti siis nimenomaan pilvihallinta, kun Decoissa ei ole paikallista web- tms. hallintaa ollenkaan

On niissä paikallinenkin hallintamahdollisuus, joskin riisuttuun appiin verrattunakin entisestään karsittu. Mutta kyllä, kyseinen "ongelmallinen" etähallinta on pilviyhteys ja sitä se puhelinsovellus käyttää

 

[kaakau<"'\\/>]

Terrapin Attack SSH-haavoittuvuus. Tarvitsee tosin MITN:n.

 

[jarhu]

On niissä paikallinenkin hallintamahdollisuus, joskin riisuttuun appiin verrattunakin entisestään karsittu. Mutta kyllä, kyseinen "ongelmallinen" etähallinta on pilviyhteys ja sitä se puhelinsovellus käyttää

Normaalikäyttäjä ei voi juurikaan tehdä muuta kuin asentaa firmispäivityksen tai antaa restartin Decoille. Tämä CVE löytyi Deco M4 firmiksestä muttei muuta NVD - CVE-2023-40193. KTK:n jutusta ei löydy tarkempaa speksiä mistä Deco-malleista on kyse. Tuo haavoittuvuus on voinut olla muidenkin mallien firmiksissä tai sitten kyseessä on uusi.

Tämä ainakin mahdollistaisi haitakkeen pääsyn mikäli kotiverkossa sisällä oleva laite on saastunut. Mahdollisesti voisi olla kyse aika perinteisestä hyökkäysketjusta, mikä on mahdollistunut käyttäjän oman toiminnan vuoksi. Saatavilla olevilla tiedoilla kyse on pelkästä arvauksesta.

Tietysti aina on mahdollista, että on hyödynnetty uudelleen käytettyjä vuodettuja tunnuslistoja ja sitä kautta päästy sisään pilvihallintaan. Ainakin tuo aiempi haavoittuvuus mahdollisti muokatun firmiksen lataamisen ja TP-link ilmeisesti on näin todennut muttei kertonut miten saastunut firmis on ajettu sisään.

 

[root]

Erikoinen iPhonessa toiminut zero-click hyökkäys dokumentoitu tietoturvatutkijoiden toimesta:

Operation Triangulation: The last (hardware) mystery

Recent iPhone models have additional hardware-based security protection for sensitive regions of the kernel memory. We discovered that to bypass this hardware-based security protection, the attackers used another hardware feature of Apple-designed SoCs.

securelist.com

Tässä on käytetty pitkää ketjua eri haavoittuvuuksia. Mielenkiintoisimpana tämä ketjun lopussa oleva aukko:

If we try to describe this feature and how the attackers took advantage of it, it all comes down to this: they are able to write data to a certain physical address while bypassing the hardware-based memory protection by writing the data, destination address, and data hash to unknown hardware registers of the chip unused by the firmware.

Odotan mitä "tuomiota" viisaammat antavat. Koska itse ymmärsin kuvauksesta, että Applen prosessorin rautapohjainen muistinsuojaus ohitetaan totaalisesti käyttämällä aiemmin tuntemattomia rekistereitä. Ja tuohon vaaditaan datalle laskettu tiiviste, jossa käytetään custom hash algoritmia. Tutkijat kirjoittavat arvauksenaan, että kyseessä voisi olla Applen testiominaisuus, joka unohtui poistaa tuotannossa. Minusta tuossa on kaikki tarvittava uuteen salaliittoteoriaan. Eli NSA asialla yhteistyössä Applen kanssa. Tai britit ja ARM.

Edit: täällä tutkijoiden esitys CCC konferenssissa Saksassa: Operation Triangulation:
Kaverit näyttävät olevan Kasperskyltä. Toivottavasti hyökkäyksellä saatiin halutut tiedot itänaapurista, ennen kuin se heitettiin haasteena ammattilaisten puhelimiin.

Edit2: Kaspersky tiedotti samasta hyökkäyksestä jo kesällä ja tässä ketjussa se myös mainittu kesäkuussa. Ylläoleva esitys todennäköisesti julkaistiin vasta nyt, koska koko ketjun tutkimisessa riitti työtä pitkään. Hyökkääjät myös poistivat kaikki jäljet Kasperskyn työntekijöiden puhelimista jo aiemmin.

Edit3: Selitys oudolle hash algortimille löytynyt. Ei ole hash vaan ECC-laskentaa. Rekisterien alkuperäinen tarkoitus viittaa cacheen: Hector Martin (@marcan@treehouse.systems)

 

[ztec]

Kvanttitietokoneen ja miten se vaikuttaa tiedonsalaamiseen käytännössä.

The impact of quantum computers in cybersecurity

In in this talk we explore the potential ramifications of quantum computing in the field of cybersecurity We'll delve into two critical a...

media.ccc.de

Tuolla on monta muutakin luentoa jotka on ihan mahtavua, kuten junien DRM jne.

Tuohon ediseen postaukseen. Se on ihan sama käyttääkö superturvallista chattiappia, jos alusta jolla ajat sitä on haavoittuva.

 

[escalibur]

USA:ssa SLAC National Accelerator Laboratory bannasi Lenovon USA:n energia- ja turvallisuusvirastojen kehotuksesta.

In accordance with directives and guidance from the Department of Energy and the Department of Homeland Security, SLAC has banned the following hardware and software.

This list is subject to change based on future guidance from the federal government.

ServiceNow Services

slacprod.servicenowservices.com

Mielenkiintoista että Xiaomia ei löydy listalta. Ainakaan vielä.

Mahdollinen banni saattaa johtua siitäkin, että nuo organisaatiot ovat melkoisen koputtelun kohteena muutenkin.

 

[TenderBeef]

"Lenovo, source of ban: counter intelligence"... jahas, nyt sitten käy aivot kovilla, että mitähän tuo läppäri tuossa pöydällä oikein tekee huomaamatta.. ei varmaan auta pätkääkään, että koneeseen on laittanut linuxin.

 

[pulatunnus]

USA:ssa SLAC National Accelerator Laboratory bannasi Lenovon USA:n energia- ja turvallisuusvirastojen kehotuksesta.

Tarkoittaako tämä nyt sitä että Lenovo on kiellettyjen listalla julkisessa halinnossa ja kriittisissä yksityiskohteissa, vai kokonaan kielletty ? yhdysvalloissa ? ja uushankintaa, vai pitääkö vanhojakin siivota pois ?

Tuotemerkkeinä kuitenkin vahvat ikoniset Jenkki tavara merkit mm, IBMn pc puoli, ja Motorolan matkapuhelin puoli.

 

[Agent_007]

Tuo SLAC-linkki on lakannut toimimasta. En tiedä oliko tuo artikkelin tarkoitus olla vain kirjautuneille käyttäjille vai nousiko tuosta sellainen haloo, että dokkari piilotettiin.

 

[Dudem]

Kävi muutama päivä sitten erikoinen tapaus, kun Windows 10 koneeni halusi asentaa/päivittää HP:n Smart ohjelmiston, ei sinänsä outoa kun ohjelma päivittyy. Mutta kun en käytä mitään HP:n laitteita kotona ja en ole koneeseeni kytkenyt myöskään mitään HP:n laitteita missään vaiheessa. Ilmeisesti tämä olikin jokin yleinen ongelma sitten lopuksi, että Windows (10/11) asentaa tämän itsestään:
Windows 11 installs HP Smart app without your permission and renames your printers, confirms Microsoft

- Microsoft confirmed that the HP Smart app is being installed on some Windows 11 and Windows 10 PCs without permission.
- A related issue renames printers as HP printers regardless of their actual manufacturer.
- Microsoft will investigate the issue and share a fix when it becomes available.

 

[Hyrava]

Kävi muutama päivä sitten erikoinen tapaus, kun Windows 10 koneeni halusi asentaa/päivittää HP:n Smart ohjelmiston, ei sinänsä outoa kun ohjelma päivittyy. Mutta kun en käytä mitään HP:n laitteita kotona ja en ole koneeseeni kytkenyt myöskään mitään HP:n laitteita missään vaiheessa. Ilmeisesti tämä olikin jokin yleinen ongelma sitten lopuksi, että Windows (10/11) asentaa tämän itsestään:
Windows 11 installs HP Smart app without your permission and renames your printers, confirms Microsoft

Just tuli tuosta uusi uutinen vastaan, MS korjannut tuon mutta samalla tehnyt uuden reiän hakkereille. Tosin tuohonkin ilmeisesti on jo paikka.

Microsoft paikkasi mystisen bugin – ja avasi samalla oven haittaohjelmille

Tulostusohjelma päätti asentaa itsensä kaikille Windowseille. Mutta ei siinä vielä kaikki.

www.mikrobitti.fi

 

[Elvis Jagger]

Inside the Massive Naz.API Credential Stuffing List

It feels like not a week goes by without someone sending me yet another credential stuffing list. It's usually something to the effect of "hey, have you seen the Spotify breach", to which I politely reply with a link to my old No, Spotify Wasn't Hacked blog post (it's just

www.troyhunt.com

Data on oikeaa. Saattaa olla hyvinkin vanhoja salasanoja, mm. Huntin oma oli jostain vuodelta 2011.

 

[Backspin]

Google is asking users how they want their data shared ahead of DMA deadline

Google is giving users the option to unlink certain services before DMA goes into effect on March 6

www.androidpolice.com

En tiedä onko tämä aivan oikea lanka, mutta mieltä olette tuosta Googlen palveluiden unlinkkauksesta. Itsellä ainakin on kännykkä jo asiaa tiedustellut. Mistä saisi lisätietoa koko jutusta?
Onko tuolla erittäymisellä saatavissa merkittävää muutosta yksityisyyden/turvallisuuden kannalta vai vaikeuttaako vain Googlen ekosysteemin käyttöä?

 

[Agent_007]

Meta/Facebook/Instagram/Whatsapp menee myös tuohon samaan DMA-settiin.

Meta now lets EU users unlink their Facebook, Messenger and Instagram accounts

Meta's new changes give EU users more control over how they use data on Facebook and Instagram. A new option allows users to separate or keep Instagram and Facebook accounts connected.

www.neowin.net

 

[Euphemos]

12 teratavun edestä salasanoja, käyttäjätunnuksia ynnä muuta sälää.

https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/

 

[Thug]

Tunnettujen palveluiden salasanoja vuotanut hakkereille – asiantuntijan mukaan voi koskea myös suomalaisten tunnuksia

Arviolta kaksi viikkoa sitten tapahtuneen tietokantamurron seurauksena Paypalin, Netflixin ja Facebookin salasanoja epäillään päätyneen hakkereille.

yle.fi

Itselläkin oli ainakin facebookin salasana saatu.

 

[Desgorr]

Tunnettujen palveluiden salasanoja vuotanut hakkereille – asiantuntijan mukaan voi koskea myös suomalaisten tunnuksia

Arviolta kaksi viikkoa sitten tapahtuneen tietokantamurron seurauksena Paypalin, Netflixin ja Facebookin salasanoja epäillään päätyneen hakkereille.

yle.fi

Itselläkin oli ainakin facebookin salasana saatu.

Vähän hämäävä tuo Ylen juttu. Eli mitään tietokantoja ei noista itse palveluista ole murrettu vaan kyseessä on nähtävästi kokelma aiemmin saatuja tunnuksia ja salasanoja sekä stealerin logeista saatuja, joka tekee tästä vähän erikoisemman listan: "This isn't just the usual collection of repurposed lists wrapped up with a brand-new bow on it and passed off as the next big thing; it's a significant volume of new data. When you look at the above forum post the data accompanied, the reason why becomes clear: it's from "stealer logs" or in other words, malware that has grabbed credentials from compromised machines."

Täällä lisää juttua: Inside the Massive Naz.API Credential Stuffing List

 

[Lammas]

Tunnettujen palveluiden salasanoja vuotanut hakkereille – asiantuntijan mukaan voi koskea myös suomalaisten tunnuksia

Arviolta kaksi viikkoa sitten tapahtuneen tietokantamurron seurauksena Paypalin, Netflixin ja Facebookin salasanoja epäillään päätyneen hakkereille.

yle.fi

Itselläkin oli ainakin facebookin salasana saatu.

Onko tässä mitään järkeä (jos on, niin osaatteko selittää yksityiskohtaisemmin):

Turhaan salasanaa ei kuitenkaan Järvisen mukaan kannata vaihtaa, koska siinä piilee tietoturvariski. Salasanan palauttamisen yhteydessä hakkerit saattavat esimerkiksi hyödyntää tilaisuuden ja käydä klikkaamassa palautusviestiä ennen oikeaa käyttäjää.