Tietoturvauutiset ja blogipostaukset

Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.
 
Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.

Petterin lausuntojen perusteella olen useamman kerran ihmetellyt asiantuntijan äänenä oloa.

Jos pelkäisi sähköpostin puolesta, niin tietysti ensin pitäisi aktivoida 2fa, eikä vaihtaa salasanaa (jos ei vielä ole 2fa), jos keylogger minkäänlainen riski.

Näemmä tännekin maininnut jostakin.
Tuo Petterin kirjoitus oli vähän laiskasti väännetty iltalehtimoodissa.
Mulla on vakaa tarkoitus käydä kaikki salasanat läpi ja vaihtaa ne, mutta en ole vielä jaksanut, kun ei ole hurjan nuoruuden jälkeen tullut tyhmästi käytettyä samoja. Samalla tietty voisi poistaa turhat käyttäjätunnukset ja aktivoida vähän turhempiinkin se toinen faktori, jos mahdollista.
 
Ruotsalaistaustaisen verkkokaupan käyttäjien tiedot ovat kaupan, ja niistä on jaettu ilmainen näyte eräälle verkkofoorumille. Tiedoissa näkyvät asiakkaan nimi, katuosoite postinumeroineen, puhelinnumero, viimeisimmän ostoksen hinta ja ostopäivä sekä tilausnumero.

Vuotaneissa tiedoissa ei näy maksukorttitietoja tai asiakkaiden syntymäaikoja.
 
En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.


 
En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.


Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.
 

Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.
 
Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.

Siellä saatiin jo voimaan Online Safety Bill, joka mm. antaa viranomaisille oikeuden vaatia viestintäsovelluksia rikkomaan end-to-end salauksen ja skaannaamaan viestien sisällön. Toistaiseksi Ofcom on myöntänyt, että se ei vielä ole teknisesti mahdollista.
 
Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.

On taas sellainen shitshow tämäkin, toimittaja ei pysty tarkalleen sanomaan mistä voi päätellä onko laitteeseen/applianceen päästy sisälle vai ei ja suosittelee asentamaan kaikki nollista. Patchattua asennusimagea ei löydy vaan pitää eka asentaa vanha ja sitten päivittää jne.
 

AnyDeskin palvelimet hakkeroitu, lähdekoodi ja koodin allekirjoitus sertifikaatit varastettu.
 
Fadblock, eli youtube mainosten poistoon tarkoitettu chrome laajennus osoittautui malwareksi.

MAJOR ANNOUNCEMENT
I am no longer the owner of the extension called "FadBlock". I handed the extension off over a month ago, seems like it traded hands a couple of times, and now the current owner has added malicious code while keeping the extension as it is!
I am taking immediate action and will release a new version (under a new name called "FadBlock Origin") of the clean codebase for everyone to use.

I am also thinking of pursuing legal action as it appears they have retained the PayPal and other support links!

I have notified the few people who supported the extension and have sent them the new codebase locally, for the rest, the new version has been submitted to the web store and will hopefully be released in under 3-5 days.

As of now, I would also ask all of the current users to report that extension for abuse so the Chrome team is notified while I recover the situation.
 
Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.

 
Viimeksi muokattu:
Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.


En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.
 
En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.
PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:

1707329948488.png


Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

1707329282421.png


1707328969286.png
 
Viimeksi muokattu:
PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:

1707329948488.png


Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

1707329282421.png


1707328969286.png
Huh ehdin jo pelästyä, että sekin kierretty.
Joo tämähän ollut tiedossa jo kauan, että 100e vehkeillä saanut homman tehtyä jo pitkään. Nyt ehkä vielä helpommin.
Monet eivät vain tajua, että se pin koodi on pakollinen vaikkei niin käyttäjäystävällinen, kun kyse on läppäreiden suojaaminen varkaus-/katoamistilanteessa.
 
Viimeksi muokattu:
Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).
"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.
 
Viimeksi muokattu:
Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).
"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.
Oleellinen tieto tapahtumasta:
Routers using default administrator passwords were targeted using Moobot malware.
 
Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Synology-Setup-Guide-username-and-password.png
Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.
 
Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.
Salasananvaihto on kyllä varmaan kaikissa, mutta käyttäjätunnuksen määritystä ei ole.
Itse teen laitteeseen yleensä uuden administrator tunnuksen ja pistän sen oletustunnuksen (yleensä admin) disabled tilaan. On laitteita jossa tuo ei onnistu.
 
Viimeksi muokattu:
Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Synology-Setup-Guide-username-and-password.png
EdgeMAX sarja alkaa muutenkin olemaan iäkäs. Onneksi ainakin näissä Ubiquitin uusimmissa laitteissa (teen parhaillaan yhdestä näistä arvostelun) on pakotettu salasanan vaihto heti käyttöönoton yhteydessä. Henkilökohtaisesti toivoisin että tunnuksenkin pitäisi vaihtaa, mutta on tuokin tyhjää parempi. Omassa EdgeRouter X käyttöönotto-opasvideossakin kehotin vaihtamaan myös tunnuksenkin johonkin ei-niin-yleiseen. Siinä on jo tekemistä brute force hyökkäysten kanssa.
 
Onhan noita ollut iät ja ajat, kun joku on sattunut hauskalle päälle, eikä sillä tietääkseni ole mitään tekemistä "jonnejen" kanssa.
 
Anteeksi offtopic mutta jos tosissaan haluaa hihi linjalle mennä niin wifi verkkojen nimissä voi käyttää myös emojea:
hihi.png
 
Vielä tuosta, että mitä vaaditaan, niin jos joltain on mennyt tämä ohi, niin pudotetaan tähän linkki:
EU Cyber Resilience Act (CRA)

Tuo ei ole vielä lainvoimainen ja sitä edelleen muokataan, mutta kyllä se sieltä tulee. Joten tässä vaiheessa on hyvä aloittaa valmistautuminen.
 
Viimeksi muokattu:
Feikki facebook sivu yrittää kalastella tunnuksia karun uutisen avulla mikä on myös ehkä feikki

1709900168290.png
 
Viimeksi muokattu:
FF blockkas näköjään automaattisesti tuon kun klikkasin. Joo tiedän et ei pitäis mennä klikkaileen, eikä kenenkään pitäis noita postailla, mut ite en vetele ihan kommandona netissä niin annoin palaa tälläkertaa ku en oo eläny vaarallisesti pitkäääään aikaan ;).

Ja jottei muiden tarvi kokeilla niin se mitä FF näytti on:
ff varoitus.jpg
 
Oli tullut facebook feediin. Ja ihan varoituksena laitoin tänne ,kun pienen lapsen verukkeella kalastellaan.
Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.
 
Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.

Joo totta, en ajatellut ihan loppuun asti
 
Ei sinänsä uusi, mutta silti toimiva esimerkki, miten voidaan huijata Tesla-kuskeja feikkaamalla latausasemien langattoman verkon SSID:ita -> ohjataan käyttäjän feikkisivustolle, johon käyttäjä kirjautuu omilla Tesla-tunnuksilla -> profit.




Sama temppu onnistuisi monissa muissakin julkisissa WiFi-verkoissa, koska harva käyttäjä osaa epäillä samannimisen verkon olevan väärä.
 
Viimeksi muokattu:
Microsoftilta massivinen paikkapaketti Windowssiin, ettei koneita kaapattaisi. Paketissa tukittiin 18 etäkaappaus reikää käyttiksestä:
Hyvä ajankohta siis päivittää systeemit, nyt.

Tuta julkaisi uuden salauksen sähköpostiin, jossa on suojaus kvantti-tietokoneita vastaan:
 
Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.


Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani
 
Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.


Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani
Tests: Update two test files. · tukaani-project/xz@6e63681 Olisko tämä se savuava ase, ainakin kommenteissa pidetään hauskaa
 
Hackernewsistä poiminta, jonka mukaan kyseinen henkilö koetti saada tuon xz-version mukaan Fedoraan
"the apparent author of the backdoor was in communication with me over several weeks trying to get xz 5.6.x added to Fedora 40 & 41 because of it's "great new features". We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added)"
"He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise."

 
Tuota xz-utilsin takaovea saatu jo jonkin verran tutkittua, vaikuttaisi että kyseessä on RCE (=Remote Code Execution) takaovi, jossa sopivalla tavalla muotoiltuun SSH:n asiakaspään julkiseen avaimeen piilotetaan koodinpätkä jonka tuo peukaloitu liblzma-kirjasto suorittaa serverillä.

Jos avaimessa ei ole tunnistetta jonka koodi odottaa löytävänsä niin suoritus jatkuukin normaalisti, eli korkattu SSH-palvelin toimisi muutoin normaalisti.


Ja tämä koko komeus paljastui tässä vaiheessa ilmeisesti ainoastaan sen vuoksi että joku alkoi ihmettelemään miksi SSH yhteyksien muodostus hidastui...
 
Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.
Jos on vähääkään seurannut viimeisen 10v aikana paikattuja haavoja, niin niitähän on joka puolella ja todennäköisesti loputtomasti löytämättä.
 
Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen uutiskoosteessa linkki, jossa käyty läpi tuota xz/liblzma kuviota.

Daily NCSC-FI news followup 2024-03-31


Summary
Someone put a lot of effort for this to be pretty innocent looking and decently hidden. From binary test files used to store payload, to file carving, substitution ciphers, and an RC4 variant implemented in AWK all done with just standard command line tools. And all this in 3 stages of execution, and with an "extension" system to future-proof things and not have to change the binary test files again. I can't help but wonder (as I'm sure is the rest of our security community) – if this was found by accident, how many things still remain undiscovered.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
257 514
Viestejä
4 475 312
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom