Tietoturvauutiset ja blogipostaukset

[Agent_007]

Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.

 

[ojisama]

Tuossa on varmaan haettu sitä tilannetta, että hakkereilla on jo pääsy sähköpostiin. Mutta ei tuossa vinkissä ole siinäkään tapauksessa oikein mitään järkeä, koska hakkerit voivat itsekin lähettää tuon nollauspyynnön. Mutta noissa Petterin logiikoissa on välillä muutenkin erikoisia outouksia, kuten tällä viikolla Hesarin yleisöosastolla ollut kirjoitus, jossa haluttiin se, että verkkopankkien pitäisi estää käyttöliittymän kielen vaihto, etteivät ulkomaiset huijarit saa nostettuja rahoja pois.

Petterin lausuntojen perusteella olen useamman kerran ihmetellyt asiantuntijan äänenä oloa.

Jos pelkäisi sähköpostin puolesta, niin tietysti ensin pitäisi aktivoida 2fa, eikä vaihtaa salasanaa (jos ei vielä ole 2fa), jos keylogger minkäänlainen riski.

Näemmä tännekin maininnut jostakin.

Tuo Petterin kirjoitus oli vähän laiskasti väännetty iltalehtimoodissa.

Mulla on vakaa tarkoitus käydä kaikki salasanat läpi ja vaihtaa ne, mutta en ole vielä jaksanut, kun ei ole hurjan nuoruuden jälkeen tullut tyhmästi käytettyä samoja. Samalla tietty voisi poistaa turhat käyttäjätunnukset ja aktivoida vähän turhempiinkin se toinen faktori, jos mahdollista.

 

[TenderBeef]

Cdon-verkkokaupan asiakkaiden tietoja myydään netissä – mukana satoja suomalaisia

Asiakastiedot ilmestyivät verkkoon lauantaina.

www.is.fi

Ruotsalaistaustaisen verkkokaupan käyttäjien tiedot ovat kaupan, ja niistä on jaettu ilmainen näyte eräälle verkkofoorumille. Tiedoissa näkyvät asiakkaan nimi, katuosoite postinumeroineen, puhelinnumero, viimeisimmän ostoksen hinta ja ostopäivä sekä tilausnumero.

Vuotaneissa tiedoissa ei näy maksukorttitietoja tai asiakkaiden syntymäaikoja.

 

[pulatunnus]

https://www.is.fi/digitoday/tietoturva/art-2000010154178.html

CDON ketjussa jotain keskustelua, jos jollain jotain jutunjuurta aiheesta

 

[Mika__]

En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.

Britanniassa ehdotetaan järkyttävää muutosta valvontalakiin – tietoturvapäivitysten julkaisu voitaisiin kieltää maailmanlaajuisesti eikä siitä saisi kertoa

Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla. Vuonna 2016

mobiili.fi

 

[jarhu]

En tiedä meneekö ikinä läpi ja missä mittakaavassa, mutta kuulostaa aivan mielipuoliselta:


Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla.

Vuonna 2016 voimaan tullutta lainsäädäntöä on nyt tarkoitus päivittää. Jo nykyisellään laki antaa brittiviranomaisille mahdollisuuden kieltää tietyt salatut palvelut niille annettavalla ilmoituksella.

Nyt lakia suunnitellaan päivitettävän niin, että Ison-Britannian sisäministeriö saisi toimivallan estää tietoturva- ja yksityisyyspäivitysten julkaisemisen ja kieltää tästä kertomisen – maailmanlaajuisesti.

Britanniassa ehdotetaan järkyttävää muutosta valvontalakiin – tietoturvapäivitysten julkaisu voitaisiin kieltää maailmanlaajuisesti eikä siitä saisi kertoa

Isossa-Britanniassa hallitus suunnittelee päivittävänsä maan valvontalakia (Investigatory Powers Act) laajasti huolestuttavalla tavalla. Vuonna 2016

mobiili.fi

Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.

 

[Puyi]

Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia | Kyberturvallisuuskeskus

PÄIVITYS 31.1.2024: Ivanti julkaisi kaksi uutta haavoittuvuutta Ivanti Connect Secure (tunnettiin aikaisemmin nimellä Pulse Secure) sekä Ivanti Policy Secure -tuotteissaan. Toista 31.1. julkaistua haavoittuvuutta on jo hyväksikäytetty. Lukuisten kotimaisten organisaatioiden on syytä reagoida...

www.kyberturvallisuuskeskus.fi

Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.

 

[Infy]

Kuulostaa ihan joltain, mitä briteissä voisikin mennä läpi. Yksi länsimaisten big brother maiden kansikuvista.

Siellä saatiin jo voimaan Online Safety Bill, joka mm. antaa viranomaisille oikeuden vaatia viestintäsovelluksia rikkomaan end-to-end salauksen ja skaannaamaan viestien sisällön. Toistaiseksi Ofcom on myöntänyt, että se ei vielä ole teknisesti mahdollista.

 

[Obi-Lan]

Ivantin tuotteissa lisää haavoittovuuksia.

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.

On taas sellainen shitshow tämäkin, toimittaja ei pysty tarkalleen sanomaan mistä voi päätellä onko laitteeseen/applianceen päästy sisälle vai ei ja suosittelee asentamaan kaikki nollista. Patchattua asennusimagea ei löydy vaan pitää eka asentaa vanha ja sitten päivittää jne.

 

[Obi-Lan]

AnyDesk says hackers breached its production servers, reset passwords

AnyDesk confirmed today that it suffered a recent cyberattack that allowed hackers to gain access to the company's production systems. BleepingComputer has learned that source code and private code signing keys were stolen during the attack.

www.bleepingcomputer.com

AnyDeskin palvelimet hakkeroitu, lähdekoodi ja koodin allekirjoitus sertifikaatit varastettu.

 

[Isopena]

Fadblock, eli youtube mainosten poistoon tarkoitettu chrome laajennus osoittautui malwareksi.

DEFCON 1: DO NOT INSTALL / UNINSTALL 'FADBLOCK' IMMEDIATELY FROM YOUR CHROME · Issue #157 · 0x48piraj/fadblock

The extension was updated over night and now needs more intrusive permissions on chrome to work again. I would like to know the reason why you need that @0x48piraj? I would think reading the data f...

github.com

 

[Elvis Jagger]

Fadblock, eli youtube mainosten poistoon tarkoitettu chrome laajennus osoittautui malwareksi.

DEFCON 1: DO NOT INSTALL / UNINSTALL 'FADBLOCK' IMMEDIATELY FROM YOUR CHROME · Issue #157 · 0x48piraj/fadblock

The extension was updated over night and now needs more intrusive permissions on chrome to work again. I would like to know the reason why you need that @0x48piraj? I would think reading the data f...

github.com

MAJOR ANNOUNCEMENT
I am no longer the owner of the extension called "FadBlock". I handed the extension off over a month ago, seems like it traded hands a couple of times, and now the current owner has added malicious code while keeping the extension as it is!
I am taking immediate action and will release a new version (under a new name called "FadBlock Origin") of the clean codebase for everyone to use.

I am also thinking of pursuing legal action as it appears they have retained the PayPal and other support links!

I have notified the few people who supported the extension and have sent them the new codebase locally, for the rest, the new version has been submitted to the web store and will hopefully be released in under 3-5 days.

As of now, I would also ask all of the current users to report that extension for abuse so the Chrome team is notified while I recover the situation.

 

[Timo 2]

Mihin tuota noname adblokkeria tarvii, kun on ublok origin.

 

[Kautium]

Mihin tuota noname adblokkeria tarvii, kun on ublok origin.

Ei sen kanssa mihinkään, mutta kaikki eivät käytä sitä, vaan sortuvat kaikenlaisiin kökkökikkareisiin mitä ensimmäisenä jossakin hömppämainoksessa tai vauva.fi:ssä ehdotellaan.

 

[escalibur]

Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.

 

[leripe]

Opasvideo kuinka murtaa Windowsin Bitlockerin noin 43 sekunnissa, joka on suojattu erillisellä TPM 2.0-piirillä mm. Lenovon läppäreissä ja Microsoft Surface Pro:ssa:

Prosessi siis vaatii fyysistä pääsyä laitteeseen ja erillistä TPM-piiriä, nykyisin TPM-piirien olevan yleensä prossujen sisällä.

Tästä voi kuitenkin aiheutua isoakin harmia kadonneiden, tai varastettujen koneiden myötä.

En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.

 

[Kautium]

En jaksanut katsoa videota, mutta oliko pinkoodiakin vaativa murrettu? Aiemmin se on estänyt ainoana suojausmenetelmänä tälläiset, toisin kuin salasana tai muut vaihtoehdot bitlockerin käytössä.

PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:

BitLocker countermeasures - Windows Security

Learn about technologies and features to protect against attacks on the BitLocker encryption key.

learn.microsoft.com

Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

 

[leripe]

PIN-koodia tuolla ei voi ohittaa. Samaten jos koneessa ei ole TPM-piiriä, vaan pelkästään softapohjainen fTPM, niin tuo ei toimi. Tuossa siis luetaan TPM-sirulta tulevan signaalin taajuuskäyrästä tietyllä vakiokellotaajuudella tahdistettuna se siinä vaiheessa salaamattomana kulkeva bitlocker-avain. Jos välissä on PIN-koodi, ei avainta irtoa. PIN-koodin käyttäminen on ollut myös jo entuudestaan Microsoftin ohje tällaisia vastaan.

Microsoftin dokumentaatiosta tähän liittyen:

BitLocker countermeasures - Windows Security

Learn about technologies and features to protect against attacks on the BitLocker encryption key.

learn.microsoft.com

Poikkeuksellista tuossa menetelmässä aiempiin verrattuna on kuitenkin se kuinka helposti ja nopeasti koodin saa kaivettua, olettaen ettei PIN-koodia ei ole asetettu ja hyökkääjällä on pääsy fyysiseen laitteeseen kokonaisuudessaan. Bitlocker-suojattu levy yksinään on takuulla turvassa, jos hyökkääjällä ei ole hallussa myös konetta, jossa on sen kanssa paritettu TPM-siru. Aiemmin tätä on joka tapauksessa pidetty hankalana ja pitkään kestävänä prosessina, joka vaatii kolvailua ja kaikenlaisia erikoislaitteita.

Tuo videon tyyppi oli tuotteistanut simppelin loppukäyttäjän työkalun tähän tarpeeseen, joskaan tuo ei suoraan käy kaikkiin kone/emomalleihin, mutta idea on sama kaikissa:

Huh ehdin jo pelästyä, että sekin kierretty.
Joo tämähän ollut tiedossa jo kauan, että 100e vehkeillä saanut homman tehtyä jo pitkään. Nyt ehkä vielä helpommin.
Monet eivät vain tajua, että se pin koodi on pakollinen vaikkei niin käyttäjäystävällinen, kun kyse on läppäreiden suojaaminen varkaus-/katoamistilanteessa.

 

[user9999]

Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).

Russian hackers hijack Ubiquiti routers to launch stealthy attacks

Russian APT28 military hackers are using compromised Ubiquiti EdgeRouters to evade detection, the FBI says in a joint advisory issued with the NSA, the U.S. Cyber Command, and international partners.

www.bleepingcomputer.com

"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.

 

[escalibur]

Venäläiset hakkerit kaappaavat Ubiquiti reitittimiä (EdgeRouters).

Russian hackers hijack Ubiquiti routers to launch stealthy attacks

Russian APT28 military hackers are using compromised Ubiquiti EdgeRouters to evade detection, the FBI says in a joint advisory issued with the NSA, the U.S. Cyber Command, and international partners.

www.bleepingcomputer.com

"EdgeRouters are often shipped with default credentials and limited to no firewall protections to accommodate wireless internet service providers (WISPs). Additionally, EdgeRouters do not automatically update firmware unless a consumer configures them to do so," the FBI warns.

Oleellinen tieto tapahtumasta:

Routers using default administrator passwords were targeted using Moobot malware.

 

[user9999]

Oleellinen tieto tapahtumasta:

Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Spoileri: Synology

 

[Hyrava]

Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Spoileri: Synology

Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.

 

[user9999]

Kyllä nykyään koko ajan useampi laite vaatii vaihtamaan salasanan ensimmäisellä kirjautumiskerralla. Ainakin koko ajan useampi IP-kamera (Axis, Bosch, ...) ja reititin (esim Teltonika) vaatii uutta salasanaa että pääsee edes konffaamaan laitetta.

Toisaalta, jonkun verran on valitettavasti laitteita jotka toimivat "jotenkuten" vaikka ei koskaan kirjaudukaan sisään, eli joku tavallinen tallaaja voi sellaisen laitteen jättää verkkoon oletustunnareilla. Ja jos laite toimii riittävän hyvin ilman konffauskäyttöliittymään menoa niin eihän tavallinen tallaaja niin paljon vaivaa jaksa nähdä että edes sen salasanan vaihtaisi.

Salasananvaihto on kyllä varmaan kaikissa, mutta käyttäjätunnuksen määritystä ei ole.
Itse teen laitteeseen yleensä uuden administrator tunnuksen ja pistän sen oletustunnuksen (yleensä admin) disabled tilaan. On laitteita jossa tuo ei onnistu.

 

[escalibur]

Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.
Muistaakseni Asus ja Synology vaatii.

Spoileri: Synology

EdgeMAX sarja alkaa muutenkin olemaan iäkäs. Onneksi ainakin näissä Ubiquitin uusimmissa laitteissa (teen parhaillaan yhdestä näistä arvostelun) on pakotettu salasanan vaihto heti käyttöönoton yhteydessä. Henkilökohtaisesti toivoisin että tunnuksenkin pitäisi vaihtaa, mutta on tuokin tyhjää parempi. Omassa EdgeRouter X käyttöönotto-opasvideossakin kehotin vaihtamaan myös tunnuksenkin johonkin ei-niin-yleiseen. Siinä on jo tekemistä brute force hyökkäysten kanssa.

 

[autsi]

Oisko kellään arvauksia krp:n salasanoista?

 

[Algron28]

Oisko kellään arvauksia krp:n salasanoista?

Jonnejen hihihii tyylillä nimeämät omat verkot ei taida kuulua tähän ketjuun. Näistähän oli jopa uutisissa männä viikolla.

 

[lxmo]

Onhan noita ollut iät ja ajat, kun joku on sattunut hauskalle päälle, eikä sillä tietääkseni ole mitään tekemistä "jonnejen" kanssa.

 

[Algron28]

Onhan noita ollut iät ja ajat, kun joku on sattunut hauskalle päälle, eikä sillä tietääkseni ole mitään tekemistä "jonnejen" kanssa.

Ei se nyt poista sitä että kyseessä ketjun aiheeseen kuulumaton postaus.

 

[Obi-Lan]

Anteeksi offtopic mutta jos tosissaan haluaa hihi linjalle mennä niin wifi verkkojen nimissä voi käyttää myös emojea:

 

[ztec]

Outoa, että harvat laitteet nykyään vaatii, että laitteen käyttöönotossa pitää luoda käyttäjätunnus ja salasana.

Jos en ihan väärin muista, niin EU teki oletustunnuksista laittomia, joten...

 

[ztec]

Vielä tuosta, että mitä vaaditaan, niin jos joltain on mennyt tämä ohi, niin pudotetaan tähän linkki:
EU Cyber Resilience Act (CRA)

Tuo ei ole vielä lainvoimainen ja sitä edelleen muokataan, mutta kyllä se sieltä tulee. Joten tässä vaiheessa on hyvä aloittaa valmistautuminen.

 

[Thug]

Feikki facebook sivu yrittää kalastella tunnuksia karun uutisen avulla mikä on myös ehkä feikki

 

[King Im Jo]

Feikki facebook sivu yrittää kalastella tunnuksia karun uutisen avulla mikä on myös ehkä feikki
Vähän lihaa tähän juttuun.
Samoten tuli varotusta kun yritti avata, mutta miksi, ja miten sä löysit tän?

 

[pulatunnus]

Feikki facebook sivu yrittää kalastella tunnuksia karun uutisen avulla mikä on myös ehkä feikki

Siis postaat tänne jotain kalastelusivuja ?

 

[FireExit]

FF blockkas näköjään automaattisesti tuon kun klikkasin. Joo tiedän et ei pitäis mennä klikkaileen, eikä kenenkään pitäis noita postailla, mut ite en vetele ihan kommandona netissä niin annoin palaa tälläkertaa ku en oo eläny vaarallisesti pitkäääään aikaan .

Ja jottei muiden tarvi kokeilla niin se mitä FF näytti on:

 

[Thug]

Vähän lihaa tähän juttuun.
Samoten tuli varotusta kun yritti avata, mutta miksi, ja miten sä löysit tän?

Oli tullut facebook feediin. Ja ihan varoituksena laitoin tänne ,kun pienen lapsen verukkeella kalastellaan.

 

[pulatunnus]

Oli tullut facebook feediin. Ja ihan varoituksena laitoin tänne ,kun pienen lapsen verukkeella kalastellaan.

Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.

 

[Thug]

Jos tuo on se kalastelu linkki niin ota se nyt ihmeessä pois, kaikki sitä klikkaa kun luulee että ole postannut jonkin aidon tieturva-artikkellin aiheesta.
Jos haluat kertoa minkä näköinen, sivu siellä on, niin kuvakaappaus.

Joo totta, en ajatellut ihan loppuun asti

 

[escalibur]

Ei sinänsä uusi, mutta silti toimiva esimerkki, miten voidaan huijata Tesla-kuskeja feikkaamalla latausasemien langattoman verkon SSID:ita -> ohjataan käyttäjän feikkisivustolle, johon käyttäjä kirjautuu omilla Tesla-tunnuksilla -> profit.

Researchers find a clever way to hack into and steal your Tesla

Researchers showed how hackers can set up a fake WiFi network at Tesla charging stations and steal the owner's login credentials.

www.businessinsider.com

Sama temppu onnistuisi monissa muissakin julkisissa WiFi-verkoissa, koska harva käyttäjä osaa epäillä samannimisen verkon olevan väärä.

 

[ztec]

Microsoftilta massivinen paikkapaketti Windowssiin, ettei koneita kaapattaisi. Paketissa tukittiin 18 etäkaappaus reikää käyttiksestä:

Microsoft March 2024 Patch Tuesday fixes 60 flaws, 18 RCE bugs

Today is Microsoft's March 2024 Patch Tuesday, and security updates have been released for 60 vulnerabilities, including eighteen remote code execution flaws.

www.bleepingcomputer.com

Hyvä ajankohta siis päivittää systeemit, nyt.

Tuta julkaisi uuden salauksen sähköpostiin, jossa on suojaus kvantti-tietokoneita vastaan:

Tuta Launches Post Quantum Cryptography For Email

Tuta Mail enables TutaCrypt, a protocol to exchange messages using quantum-safe encryption.

tuta.com

 

[Euphemos]

Ompun M-sarjan siruissa arkkitehtuuritason erhe:

Unpatchable vulnerability in Apple chip leaks secret encryption keys

Fixing newly discovered side channel will likely take a major toll on performance.

arstechnica.com

 

[Obi-Lan]

Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.

Urgent security alert for Fedora 41 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.

www.redhat.com

Reddit - Dive into anything

www.reddit.com

Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani

 

[jase]

Linuxin xz kirjaston viimeisimpien versioiden lähdekoodeista löytynyt backdoor mikä ilmeisesti jollain tapaa yrittää avata takaoven SSH serverille.

Urgent security alert for Fedora 41 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.

www.redhat.com

Reddit - Dive into anything

www.reddit.com

Suomalaisittain mielenkiintoista, että xz on osittain (?) suomalaisen Tukaani projectin ylläpitämä Tukaani

Tests: Update two test files. · tukaani-project/xz@6e63681 Olisko tämä se savuava ase, ainakin kommenteissa pidetään hauskaa

 

[Hyrava]

Tests: Update two test files. · tukaani-project/xz@6e63681 Olisko tämä se savuava ase, ainakin kommenteissa pidetään hauskaa

Tässä videossa vähän selitetään kuinka tuo on tuonne syötetty:

edit:
Ilmeisesti samainen kehittäjä on muutamaan muuhunkin kompressiokirjastoon kontribuoinut lähiaikoina, joten tuo ei välttämättä ole ainoa backdoor mitä löydetään lähiaikoina.

 

[user9999]

Tuosta tuli haavoittuvuustiedote.

Kriittinen haavoittuvuus Linux-jakeluissa XZ Utils -tiedonpakkausohjelmistossa | Kyberturvallisuuskeskus

Linux-jakeluiden XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot sisältävät haitallista koodia, joka sallii luvattoman pääsyn luoden takaportin järjestelmään. Haitallinen koodi on käytössä useissa Linux-jakeluissa. Valmistaja suosittelee ottamaan käyttöön vanhemman version (5.4.6) XZ...

www.kyberturvallisuuskeskus.fi

 

[Agent_007]

Hackernewsistä poiminta, jonka mukaan kyseinen henkilö koetti saada tuon xz-version mukaan Fedoraan
"the apparent author of the backdoor was in communication with me over several weeks trying to get xz 5.6.x added to Fedora 40 & 41 because of it's "great new features". We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added)"
"He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise."

Very annoying - the apparent author of the backdoor was in communication with me... | Hacker News

news.ycombinator.com

 

[Barbarossa]

Tuota xz-utilsin takaovea saatu jo jonkin verran tutkittua, vaikuttaisi että kyseessä on RCE (=Remote Code Execution) takaovi, jossa sopivalla tavalla muotoiltuun SSH:n asiakaspään julkiseen avaimeen piilotetaan koodinpätkä jonka tuo peukaloitu liblzma-kirjasto suorittaa serverillä.

Jos avaimessa ei ole tunnistetta jonka koodi odottaa löytävänsä niin suoritus jatkuukin normaalisti, eli korkattu SSH-palvelin toimisi muutoin normaalisti.

https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b

Ja tämä koko komeus paljastui tässä vaiheessa ilmeisesti ainoastaan sen vuoksi että joku alkoi ihmettelemään miksi SSH yhteyksien muodostus hidastui...

 

[Desgorr]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

 

[leripe]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

Jos on vähääkään seurannut viimeisen 10v aikana paikattuja haavoja, niin niitähän on joka puolella ja todennäköisesti loputtomasti löytämättä.

 

[user9999]

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen uutiskoosteessa linkki, jossa käyty läpi tuota xz/liblzma kuviota.

Daily NCSC-FI news followup 2024-03-31

xz/liblzma: Bash-stage Obfuscation Explained

gynvael.coldwind.pl

Summary
Someone put a lot of effort for this to be pretty innocent looking and decently hidden. From binary test files used to store payload, to file carving, substitution ciphers, and an RC4 variant implemented in AWK all done with just standard command line tools. And all this in 3 stages of execution, and with an "extension" system to future-proof things and not have to change the binary test files again. I can't help but wonder (as I'm sure is the rest of our security community) – if this was found by accident, how many things still remain undiscovered.