Tietoturvauutiset ja blogipostaukset

Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.
 
Agent_007 sanoi:
Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.
Napsauta laajentaaksesi...

Petterin lausuntojen perusteella olen useamman kerran ihmetellyt asiantuntijan äänenä oloa.

Jos pelkäisi sähköpostin puolesta, niin tietysti ensin pitäisi aktivoida 2fa, eikä vaihtaa salasanaa (jos ei vielä ole 2fa), jos keylogger minkäänlainen riski.

Näemmä tännekin maininnut jostakin.
ojisama sanoi:
Tuo Petterin kirjoitus oli vähän laiskasti väännetty iltalehtimoodissa.
Napsauta laajentaaksesi...
Mulla on vakaa tarkoitus käydä kaikki salasanat läpi ja vaihtaa ne, mutta en ole vielä jaksanut, kun ei ole hurjan nuoruuden jälkeen tullut tyhmästi käytettyä samoja. Samalla tietty voisi poistaa turhat käyttäjätunnukset ja aktivoida vähän turhempiinkin se toinen faktori, jos mahdollista.
 
www.is.fi

Cdon-verkkokaupan asiakkaiden tietoja myydään netissä – mukana satoja suomalaisia

Asiakastiedot ilmestyivät verkkoon lauantaina.
www.is.fi www.is.fi
Ruotsalaistaustaisen verkkokaupan käyttäjien tiedot ovat kaupan, ja niistä on jaettu ilmainen näyte eräälle verkkofoorumille. Tiedoissa näkyvät asiakkaan nimi, katuosoite postinumeroineen, puhelinnumero, viimeisimmän ostoksen hinta ja ostopäivä sekä tilausnumero.

Vuotaneissa tiedoissa ei näy maksukorttitietoja tai asiakkaiden syntymäaikoja.
Napsauta laajentaaksesi...
 
En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.

mobiili.fi

Britanniassa ehdotetaan järkyttävää muutosta valvontalakiin – tietoturvapäivitysten julkaisu voitaisiin kieltää maailmanlaajuisesti eikä siitä saisi kertoa

Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla. Vuonna 2016
mobiili.fi mobiili.fi
 
Mika__ sanoi:
En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.

mobiili.fi

Britanniassa ehdotetaan järkyttävää muutosta valvontalakiin – tietoturvapäivitysten julkaisu voitaisiin kieltää maailmanlaajuisesti eikä siitä saisi kertoa

Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla. Vuonna 2016
mobiili.fi mobiili.fi
Napsauta laajentaaksesi...
Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.
 
www.kyberturvallisuuskeskus.fi

Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia | Kyberturvallisuuskeskus

PÄIVITYS 31.1.2024: Ivanti julkaisi kaksi uutta haavoittuvuutta Ivanti Connect Secure (tunnettiin aikaisemmin nimellä Pulse Secure) sekä Ivanti Policy Secure -tuotteissaan. Toista 31.1. julkaistua haavoittuvuutta on jo hyväksikäytetty. Lukuisten kotimaisten organisaatioiden on syytä reagoida...
www.kyberturvallisuuskeskus.fi www.kyberturvallisuuskeskus.fi

Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.
 
jarhu sanoi:
Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.
Napsauta laajentaaksesi...

Siellä saatiin jo voimaan Online Safety Bill, joka mm. antaa viranomaisille oikeuden vaatia viestintäsovelluksia rikkomaan end-to-end salauksen ja skaannaamaan viestien sisällön. Toistaiseksi Ofcom on myöntänyt, että se ei vielä ole teknisesti mahdollista.
 
Puyi sanoi:
Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.
Napsauta laajentaaksesi...

On taas sellainen shitshow tämäkin, toimittaja ei pysty tarkalleen sanomaan mistä voi päätellä onko laitteeseen/applianceen päästy sisälle vai ei ja suosittelee asentamaan kaikki nollista. Patchattua asennusimagea ei löydy vaan pitää eka asentaa vanha ja sitten päivittää jne.
 
www.bleepingcomputer.com

AnyDesk says hackers breached its production servers, reset passwords

AnyDesk confirmed today that it suffered a recent cyberattack that allowed hackers to gain access to the company's production systems. BleepingComputer has learned that source code and private code signing keys were stolen during the attack.
www.bleepingcomputer.com www.bleepingcomputer.com

AnyDeskin palvelimet hakkeroitu, lähdekoodi ja koodin allekirjoitus sertifikaatit varastettu.
 
Isopena sanoi:
Fadblock, eli youtube mainosten poistoon tarkoitettu chrome laajennus osoittautui malwareksi.

github.com

DEFCON 1: DO NOT INSTALL / UNINSTALL 'FADBLOCK' IMMEDIATELY FROM YOUR CHROME · Issue #157 · 0x48piraj/fadblock

The extension was updated over night and now needs more intrusive permissions on chrome to work again. I would like to know the reason why you need that @0x48piraj? I would think reading the data f...
github.com github.com
Napsauta laajentaaksesi...
MAJOR ANNOUNCEMENT
I am no longer the owner of the extension called "FadBlock". I handed the extension off over a month ago, seems like it traded hands a couple of times, and now the current owner has added malicious code while keeping the extension as it is!
I am taking immediate action and will release a new version (under a new name called "FadBlock Origin") of the clean codebase for everyone to use.

I am also thinking of pursuing legal action as it appears they have retained the PayPal and other support links!

I have notified the few people who supported the extension and have sent them the new codebase locally, for the rest, the new version has been submitted to the web store and will hopefully be released in under 3-5 days.

As of now, I would also ask all of the current users to report that extension for abuse so the Chrome team is notified while I recover the situation.
Napsauta laajentaaksesi...
 
Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.

 
Viimeksi muokattu:
escalibur sanoi:
Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.

Napsauta laajentaaksesi...

En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.
 
leripe sanoi:
En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.
Napsauta laajentaaksesi...
PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:
learn.microsoft.com

BitLocker countermeasures

Learn about technologies and features to protect against attacks on the BitLocker encryption key.
learn.microsoft.com

1707329948488.png


Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

1707329282421.png


1707328969286.png
 
Viimeksi muokattu:
Kautium sanoi:
PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:
learn.microsoft.com

BitLocker countermeasures

Learn about technologies and features to protect against attacks on the BitLocker encryption key.
learn.microsoft.com

1707329948488.png


Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

1707329282421.png


1707328969286.png
Napsauta laajentaaksesi...
Huh ehdin jo pelästyä, että sekin kierretty.
Joo tämähän ollut tiedossa jo kauan, että 100e vehkeillä saanut homman tehtyä jo pitkään. Nyt ehkä vielä helpommin.
Monet eivät vain tajua, että se pin koodi on pakollinen vaikkei niin käyttäjäystävällinen, kun kyse on läppäreiden suojaaminen varkaus-/katoamistilanteessa.
 
Viimeksi muokattu:
Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).
www.bleepingcomputer.com

Russian hackers hijack Ubiquiti routers to launch stealthy attacks

Russian APT28 military hackers are using compromised Ubiquiti EdgeRouters to evade detection, the FBI says in a joint advisory issued with the NSA, the U.S. Cyber Command, and international partners.
www.bleepingcomputer.com www.bleepingcomputer.com
"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.
 
Viimeksi muokattu:
user9999 sanoi:
Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).
www.bleepingcomputer.com

Russian hackers hijack Ubiquiti routers to launch stealthy attacks

Russian APT28 military hackers are using compromised Ubiquiti EdgeRouters to evade detection, the FBI says in a joint advisory issued with the NSA, the U.S. Cyber Command, and international partners.
www.bleepingcomputer.com www.bleepingcomputer.com
"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.
Napsauta laajentaaksesi...
Oleellinen tieto tapahtumasta:
Routers using default administrator passwords were targeted using Moobot malware.
Napsauta laajentaaksesi...
 
user9999 sanoi:
Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Synology-Setup-Guide-username-and-password.png
Napsauta laajentaaksesi...
Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.
 
Hyrava sanoi:
Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.
Napsauta laajentaaksesi...
Salasananvaihto on kyllä varmaan kaikissa, mutta käyttäjätunnuksen määritystä ei ole.
Itse teen laitteeseen yleensä uuden administrator tunnuksen ja pistän sen oletustunnuksen (yleensä admin) disabled tilaan. On laitteita jossa tuo ei onnistu.
 
Viimeksi muokattu:
user9999 sanoi:
Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Synology-Setup-Guide-username-and-password.png
Napsauta laajentaaksesi...
EdgeMAX sarja alkaa muutenkin olemaan iäkäs. Onneksi ainakin näissä Ubiquitin uusimmissa laitteissa (teen parhaillaan yhdestä näistä arvostelun) on pakotettu salasanan vaihto heti käyttöönoton yhteydessä. Henkilökohtaisesti toivoisin että tunnuksenkin pitäisi vaihtaa, mutta on tuokin tyhjää parempi. Omassa EdgeRouter X käyttöönotto-opasvideossakin kehotin vaihtamaan myös tunnuksenkin johonkin ei-niin-yleiseen. Siinä on jo tekemistä brute force hyökkäysten kanssa.
 
Onhan noita ollut iät ja ajat, kun joku on sattunut hauskalle päälle, eikä sillä tietääkseni ole mitään tekemistä "jonnejen" kanssa.
 
Anteeksi offtopic mutta jos tosissaan haluaa hihi linjalle mennä niin wifi verkkojen nimissä voi käyttää myös emojea:
hihi.png
 
Vielä tuosta, että mitä vaaditaan, niin jos joltain on mennyt tämä ohi, niin pudotetaan tähän linkki:
EU Cyber Resilience Act (CRA)

Tuo ei ole vielä lainvoimainen ja sitä edelleen muokataan, mutta kyllä se sieltä tulee. Joten tässä vaiheessa on hyvä aloittaa valmistautuminen.
 
Viimeksi muokattu:
Feikki facebook sivu yrittää kalastella tunnuksia karun uutisen avulla mikä on myös ehkä feikki

1709900168290.png
 
Viimeksi muokattu:
FF blockkas näköjään automaattisesti tuon kun klikkasin. Joo tiedän et ei pitäis mennä klikkaileen, eikä kenenkään pitäis noita postailla, mut ite en vetele ihan kommandona netissä niin annoin palaa tälläkertaa ku en oo eläny vaarallisesti pitkäääään aikaan ;).

Ja jottei muiden tarvi kokeilla niin se mitä FF näytti on:
ff varoitus.jpg
 
Thug sanoi:
Oli tullut facebook feediin. Ja ihan varoituksena laitoin tänne ,kun pienen lapsen verukkeella kalastellaan.
Napsauta laajentaaksesi...
Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.
 
pulatunnus sanoi:
Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.
Napsauta laajentaaksesi...

Joo totta, en ajatellut ihan loppuun asti
 
Ei sinänsä uusi, mutta silti toimiva esimerkki, miten voidaan huijata Tesla-kuskeja feikkaamalla latausasemien langattoman verkon SSID:ita -> ohjataan käyttäjän feikkisivustolle, johon käyttäjä kirjautuu omilla Tesla-tunnuksilla -> profit.



www.businessinsider.com

Researchers find a clever way to hack into and steal your Tesla

Researchers showed how hackers can set up a fake WiFi network at Tesla charging stations and steal the owner's login credentials.
www.businessinsider.com www.businessinsider.com

Sama temppu onnistuisi monissa muissakin julkisissa WiFi-verkoissa, koska harva käyttäjä osaa epäillä samannimisen verkon olevan väärä.
 
Viimeksi muokattu:
Microsoftilta massivinen paikkapaketti Windowssiin, ettei koneita kaapattaisi. Paketissa tukittiin 18 etäkaappaus reikää käyttiksestä:
www.bleepingcomputer.com

Microsoft March 2024 Patch Tuesday fixes 60 flaws, 18 RCE bugs

Today is Microsoft's March 2024 Patch Tuesday, and security updates have been released for 60 vulnerabilities, including eighteen remote code execution flaws.
www.bleepingcomputer.com www.bleepingcomputer.com
Hyvä ajankohta siis päivittää systeemit, nyt.

Tuta julkaisi uuden salauksen sähköpostiin, jossa on suojaus kvantti-tietokoneita vastaan:
tuta.com

Tuta Launches Post Quantum Cryptography For Email | Tuta

Tuta Mail enables TutaCrypt, a protocol to exchange messages using quantum-safe encryption.
tuta.com tuta.com
 
Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.

www.redhat.com

Urgent security alert for Fedora 40 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.
www.redhat.com www.redhat.com

Reddit - Dive into anything

www.reddit.com www.reddit.com

Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani
 
Obi-Lan sanoi:
Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.

www.redhat.com

Urgent security alert for Fedora 40 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.
www.redhat.com www.redhat.com

Reddit - Dive into anything

www.reddit.com www.reddit.com

Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani
Napsauta laajentaaksesi...
Tests: Update two test files. · tukaani-project/xz@6e63681 Olisko tämä se savuava ase, ainakin kommenteissa pidetään hauskaa
 
Hackernewsistä poiminta, jonka mukaan kyseinen henkilö koetti saada tuon xz-version mukaan Fedoraan
"the apparent author of the backdoor was in communication with me over several weeks trying to get xz 5.6.x added to Fedora 40 & 41 because of it's "great new features". We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added)"
"He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise."

Very annoying - the apparent author of the backdoor was in communication with me... | Hacker News

news.ycombinator.com news.ycombinator.com
 
Tuota xz-utilsin takaovea saatu jo jonkin verran tutkittua, vaikuttaisi että kyseessä on RCE (=Remote Code Execution) takaovi, jossa sopivalla tavalla muotoiltuun SSH:n asiakaspään julkiseen avaimeen piilotetaan koodinpätkä jonka tuo peukaloitu liblzma-kirjasto suorittaa serverillä.

Jos avaimessa ei ole tunnistetta jonka koodi odottaa löytävänsä niin suoritus jatkuukin normaalisti, eli korkattu SSH-palvelin toimisi muutoin normaalisti.

Filippo Valsorda (@filippo.abyssdomain.expert)

I'm watching some folks reverse engineer the xz backdoor, sharing some *preliminary* analysis with permission. The hooked RSA_public_decrypt verifies a signature on the server's host key by a fixed Ed448 key, and then passes a payload to system(). It's RCE, not auth bypass, and...
bsky.app bsky.app

Ja tämä koko komeus paljastui tässä vaiheessa ilmeisesti ainoastaan sen vuoksi että joku alkoi ihmettelemään miksi SSH yhteyksien muodostus hidastui...
 
Desgorr sanoi:
Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.
Napsauta laajentaaksesi...
Jos on vähääkään seurannut viimeisen 10v aikana paikattuja haavoja, niin niitähän on joka puolella ja todennäköisesti loputtomasti löytämättä.
 
Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen uutiskoosteessa linkki, jossa käyty läpi tuota xz/liblzma kuviota.

Daily NCSC-FI news followup 2024-03-31

gynvael.coldwind.pl

xz/liblzma: Bash-stage Obfuscation Explained

gynvael.coldwind.pl gynvael.coldwind.pl

Summary
Someone put a lot of effort for this to be pretty innocent looking and decently hidden. From binary test files used to store payload, to file carving, substitution ciphers, and an RC4 variant implemented in AWK all done with just standard command line tools. And all this in 3 stages of execution, and with an "extension" system to future-proof things and not have to change the binary test files again. I can't help but wonder (as I'm sure is the rest of our security community) – if this was found by accident, how many things still remain undiscovered.
 
Viimeksi muokattu:
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
257 514
Viestejä
4 475 312
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom