Tietoturvauutiset ja blogipostaukset

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.
Toisaalta taas tuuri on parempi aina kun koetetaan ujuttaa johonkin näinkin yleisesti käytettyyn kirjastoon backdooria. Aina löytyy joku joka tekee jotain ihme niche juttua ja kiinnittää huomion johonkin pikku muutokseen, joka on merkittävä hänen kontekstissaan.

Luulen että pisimmälle pääsisi backdoorinsa kanssa jossain domain spesifisessä kirjastossa, jota käytetään laajalti, muttei kuitenkaan ihan joka palvelimelta löydy. Toki jos se ei riitä niin sitten pitää vaan yrittää isosti ja suoraan kaikkialle, niin kuin nyt tehtiin.

Neljästä miljoonasta npm paketista varmaan löytyy yhtä jos toista :dead:
 
Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.
Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa. Mikähän todennäköisyys on sille että omaa konetta on käyttäny joku muu kuin minä kun on tälläinen perus työpöytäsurffailija? Tuolla varmaan on melkein loputtomasti paljon mielekkäämpiä kohteita.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin? Ymmärsin että tuohon ei välttämättä kaikille ole paikkaustakaan, mutta eiköhän nyt pääsiäisen aikana viimeistään useimmat sen tule saamaan tai alkuviikosta heti kun kaikki palaavat töihin pikkulomalta luulis että keskiviikkoon mennessä valtaosa olis jo paikattuna eri jakeluista.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?

Edit. Pystyiskö käytännössä estämään takaoven avulla uuden puhtaan päivityksen päivittymisen ja varmistamaan että puuhaa itselleen riittää vielä "hetkeksi"?

Takaoven tekijää tuskin tavallinen surffailija kiinnostaa kun ei tiedä osoitteitakaan, mutta pystyiskö esimerkiksi joku pahantahtoinen vaikka netflixin työntekijä käyttämään tätä hyväkseen? Tai jos vierailen jonkun foorumilla/kotisivuillasi jolloin saat ip osoitteeni niin silloinhan sitä kautta jää hyväksikäyttökohde tietoon?

Mutta koska linuxilla ei defaulttina taida se ssh olla päälle kytkettynä saati porttejakaan avoinna niin se on todennäköisesti erittäin pieni todennäköisyys että joku lähtee sokkona virittelemään ssh yhteyksiä? Siksi kysyin että tekeekö se haittakoodi itse automaattisesti mitään erikoista?

Pahoittelen typeriä kysymyksiä, en vain tunne alaa mutta asia kiinnostaa silti. Kyllähän se vähän pännis jos steamiin ei kukaan pääsis kirjautumaan.

Edit.. Entäs jos kuitenkin on se linux missä ssh on käytössä ja porttina vaikka 333 niin mitäs sitten? Voiko noita mahdollisia ssh yhteyksiä googlettaa jostain jossa selviää myös se avoinna oleva portti? Vaikeuttaako se salasana ssh-yhteyden luomista yhtään vai onko takaovi aina "avoinna" eli kuka vaan, koska vaan sisään?
 
Viimeksi muokattu:
Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.
git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa.
Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin?
0.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?
Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know
 
git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know

Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.
 
Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.

Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.
 
Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.
Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.
 
Kyllä vaan. Tässä omalta kohdalta tuo muutama kokeilu :)

IMG_0566.jpeg
 
Miten nuo statsit saa kerääntymään ja näkymään?

Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.


Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta

IMG_0567.jpeg


Paraikaa työnalla päästä tuosta SSH:sta eroon.
 
Viimeksi muokattu:
Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.


Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta

IMG_0567.jpeg


Paraikaa työnalla päästä tuosta SSH:sta eroon.
Vähän mielessäni arvelinkin että se on varmaan fail2ban tai sen tapainen. En vain uskaltanu kehdannu suoraan kysyä. Kiitos tiedosta. Täytyy jatkaa tuohon fail2baniin tutustumista taas joskus.
 
Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.

Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.
 
Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.

Payload on ainoastaan tuon härvelin tekijällä, eikä sitä saa oikein mitenkään selville ellei toi tekijä sitä julkaise.

While the public key is well-known, only the attackers have the corresponding Ed448 private signing key, ensuring that only the attackers can generate valid payloads for the backdoor. Furthermore, the signature is bound to the host’s public key, meaning that a valid signature for one host cannot be reused on a different host.
 
Hyvä tieto. Sitten noita ei kyllä melkoisen suurella todennäköisyydellä tule lainkaan.
Jep, jos isolla rahalla ja vaivalla tehty, niin tuskin laitetaan jakoon huvikseen.
Käytetään uusiksi mahdollisesti modattuna seuraavassa long gamessa.
 
Haavoittuvuuksia LG televisioissa. Päivitykset on jo julkaistu.
Bitdefender explains that although the vulnerable LG WebOS service is supposed to be used only in local area networks (LAN) settings, Shodan internet scans show 91,000 exposed devices that are potentially vulnerable to the flaws.

exposure.png
 
Viimeksi muokattu:
Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa.

Haavoittuviksi tunnistetut ohjelmistot ja versiot
PuTTY 0.68 - 0.80
FileZilla 3.24.1 - 3.66.5
WinSCP 5.9.5 - 6.3.2
TortoiseGit 2.4.0.2 - 2.15.0
TortoiseSVN 1.10.0 - 1.14.6

 
Aikas mielenkiintoinen 0-day oli Telegram Windows clientissa, eli jos koneelle oli myös asennettu Python, niin RCE (Remote Code Execution) oli mahdollista...


Telegram fixed a zero-day vulnerability in its Windows desktop application that could be used to bypass security warnings and automatically launch Python scripts.

To make matters worse, the proof of concept exploit disguised the Python file as a shared video, along with a thumbnail, that could be used to trick users into clicking on the fake video to watch it.
 
...tietovuoto pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa. Henkilöstön osalta tietomurto koskee koko henkilöstöämme koska tekijä on saanut haltuunsa koko henkilöstön sähköpostiosoitteet ja käyttäjätunnukset..

Tietomurto tapahtui päivittämättömän verkkolaitteen kautta.

Kyseessä on kaikkien aikojen laajin tietomurto kuntasektorilla Suomessa.

Joitakin asioita ei vaan opita.:thumbsdown:

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella. :)
 
Viimeksi muokattu:


Joitakin asioita ei vaan opita.:thumbsdown:

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella. :)
Tässä on tänä vuonna käytännössä jokainen yritystason vpn valmistajan setit korkattu. Ei paljon auta mikään, jos remote haava löytyy uusimmastakin firmisversiosta joka ajossa..
Edit: toki ei tainnut tässä tapauksessa olla viimeisin tai sitten oli niin tuore julkaisu ettei oltu ehditty päivittää.
 


Joitakin asioita ei vaan opita.:thumbsdown:

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella. :)
Kaupungin digitalisaatiojohtaja sanoi toiveikkaasti vielä viime viikolla, että "Tietomurron tekijä on päässyt tarkastelemaan sähköpostiosoitteistoa. Salasanoihin tai sähköpostien sisältöön tekijä ei kuitenkaan päässyt käsiksi. Tietomurto on saattanut saada alkunsa kalasteluviestistä".

Nyt on tosiaan paljastunut, että sisään on ilmeisesti tultu jonkin päivittämättömän etäkäyttöpalvelimen kautta ja pääsy sieltä edelleen eri verkkoresursseihin on ollut melko laaja. Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.
 
Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.
Tarkempaa en ole itsekään nähnyt. Toivottavasti pystyvät selvittämään, mihin lopulta on päästy käsiksi mutta kyllä tässä vastaamo 2 on huolestuttavan lähellä ellei jopa pahempaa. Tietoa tulisi siis saada nopeasti, onhan tuolla hs:n uutisessa mm.
Kaupunki ei voi poissulkea, etteikö tietomurron tekijä olisi voinut saada haltuunsa myös turvakiellon alaisten henkilöiden tietoja.
Toivoa sopii ketjussa nähtävän tulevaisuudessa enemmän uutisia siitä, miten on parannettu tietoturvaa. Tässä vaikuttaa menneen moni asia pieleen, oppia tulisi ottaa ja panostaa tulevaisuudessa enemmän.
 
Kaupungin digitalisaatiojohtaja sanoi toiveikkaasti vielä viime viikolla, että "Tietomurron tekijä on päässyt tarkastelemaan sähköpostiosoitteistoa. Salasanoihin tai sähköpostien sisältöön tekijä ei kuitenkaan päässyt käsiksi. Tietomurto on saattanut saada alkunsa kalasteluviestistä".

Nyt on tosiaan paljastunut, että sisään on ilmeisesti tultu jonkin päivittämättömän etäkäyttöpalvelimen kautta ja pääsy sieltä edelleen eri verkkoresursseihin on ollut melko laaja. Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.
Tämän hetken tiedon mukaan suurin tietojoukko vuotaneita tietoja lienevät sähköpostiosoitteita ja käyttäjätunnuksia - ei hetuja. Eli ne on varmaan "kaavittu" jostain verkkohakemistosta tai Exchangesta. Jotenkin tuntuu että kenties tässä on käytetty hyväksi sekä etäyhteyspalvelun haavoittuvuutta että vääriin käsiin päätynyttä käyttäjätunnusta... Jos näin on, tähän tunnukseen liitetty sähköpostilaatikkokin lienee vaarantunut. Mahdollisesti juuri sähköpostitilin avulla on nuo tiedotkin kaavittu.

Suuri huoli on juurikin verkkolevyt, ja niiden sisältö. Tiedostoja on yhteensä kymmeniä miljoonia. Ja vielä ei tiedetä, kuinka suuri osa näistä on ehditty varastaa. Näiden joukossa olevissa asiakirjoissa on arkaluonteisia tietoja.

Varsinaiset opiskelija-asiat tallennetaan Wilmaan, ja kuraattorien ja psykologien lausunnot ym. taas Aura-järjestelmään. Tähän mennessä ei ole ilmoitettu että niihin olisi päästy käsiksi.

Sellainen twist tässä on myös, että Helsinki hoitaa myös alueensa yksityisten opetustenjärjestäjien opiskeluhuollon tietyiltä osin; terkkarit, lääkärit, kuraattorit ja psykologit... Joista kaksi jälkimmäistä ryhmää ovat opetustoimialan alaisuudessa. Onko näiden opiskelijoiden tiedot vain Aurassa, vai onko niitä tallennettu myös kaupungin verkkolevyille?
 
Suuri huoli on juurikin verkkolevyt, ja niiden sisältö. Tiedostoja on yhteensä kymmeniä miljoonia. Ja vielä ei tiedetä, kuinka suuri osa näistä on ehditty varastaa. Näiden joukossa olevissa asiakirjoissa on arkaluonteisia tietoja.

Varsinaiset opiskelija-asiat tallennetaan Wilmaan, ja kuraattorien ja psykologien lausunnot ym. taas Aura-järjestelmään. Tähän mennessä ei ole ilmoitettu että niihin olisi päästy käsiksi.

Sellainen twist tässä on myös, että Helsinki hoitaa myös alueensa yksityisten opetustenjärjestäjien opiskeluhuollon tietyiltä osin; terkkarit, lääkärit, kuraattorit ja psykologit... Joista kaksi jälkimmäistä ryhmää ovat opetustoimialan alaisuudessa. Onko näiden opiskelijoiden tiedot vain Aurassa, vai onko niitä tallennettu myös kaupungin verkkolevyille?
Kun tietää miten leväperäisesti väki eri organisaatioissa yleisesti toimii ja tavoittelee yleensä helpointa mahdollista reittiä oman akuutin tarpeensa hoitamiseen, niin veikkaan että aika pitkälti kaikki arkaluontoinenkin tieto löytyy sieltä verkkolevyiltä, vaikka kuinka olisi moneen kertaan jankutettu ja vaadittu, että niin ei saa tehdä.
 
Jos se isku on tehty suoraan VPN Gateway palvelimeen/purkkiin (esim. toi Palo-Alton aukko sopisi ajankohdallisesti), VPN Gateway yleensä käyttää AD autentikointia joten siitä voi suoraan kaapia kasaan AD tunnukset. AD:ssa tunnukset ja osa attribuuteista ovat "julkista tietoa", ne voi mikä tahansa käyttäjätason työasema tai muu laite koska vaan kysellä. Salasanat ei ole helposti saatavilla ja hetuja toivottavasti kukaan ei lisää AD tunnuksiin. Yleensä siellä on joku service account tallennettu LDAP kyselyihin ja huonoimmassa tapauksessa sillä on vielä domain admin natsat jos asentajat on ollut laiskoja eivätkä ole toteuttaneet minimi oikeuksien periaatteita.

Ja tuosta Gatewaystä pitää toki olla verkkotason pääsy kaikkiin niihin resursseihin mihin eri tasoisten käyttäjien pitää päästä, pääsyhallinta yleensä tehdään siinä purkissa itsessään.
 
Jos se isku on tehty suoraan VPN Gateway palvelimeen/purkkiin (esim. toi Palo-Alton aukko sopisi ajankohdallisesti), VPN Gateway yleensä käyttää AD autentikointia joten siitä voi suoraan kaapia kasaan AD tunnukset. AD:ssa tunnukset ja osa attribuuteista ovat "julkista tietoa", ne voi mikä tahansa käyttäjätason työasema tai muu laite koska vaan kysellä. Salasanat ei ole helposti saatavilla ja hetuja toivottavasti kukaan ei lisää AD tunnuksiin. Yleensä siellä on joku service account tallennettu LDAP kyselyihin ja huonoimmassa tapauksessa sillä on vielä domain admin natsat jos asentajat on ollut laiskoja eivätkä ole toteuttaneet minimi oikeuksien periaatteita.

Ja tuosta Gatewaystä pitää toki olla verkkotason pääsy kaikkiin niihin resursseihin mihin eri tasoisten käyttäjien pitää päästä, pääsyhallinta yleensä tehdään siinä purkissa itsessään.
En tiedä mitä järjestelmää siellä on käytetty, mutta tuota Palo Alton CVE-2024-3400 -reikää minäkin epäilen. Siitä on toitotettu kaikissa mahdollisissa kanavissa sen verran näkyvästi, että jotain pitää olla pielessä järjestelmähallinnassa, jos jossakin organisaatiossa on niitä vielä käytössä päivittämättömänä.
 
Nyt vuorossaan murtauduttiin (Akira ransomware?) Fiskars konsernin USA:n yksikköön. Ilmeisesti rikolliset varastivat kahden teran verran dataa omistajan kiristämistä varten.


 
Traficomilta ja positiivisesta luottorekisteristä on haettu tietoja oikein urakalla rajapintojen kautta, kun jollakin 'luottolaitoksella' on ollut tietoturva-ongelma järjestelmässään.

Positiivisesta luottotietorekisteristä kysytty luottotietorekisteriotteita väärin perustein :
Tämänhetkisten tietojen mukaan luotonantajan käyttämään ohjelmistoon on tehty tietomurto, jonka seurauksena positiiviselta luottotietorekisteriltä on kysytty luottotietorekisteriotteita ilman perustetta. Positiiviseen luottotietorekisteriin itseensä ei ole kohdistunut tietomurtoa.
Varotoimenpiteenä ohjelmistorajapinta luotonantajalle on väliaikaisesti suljettu. Selvitämme parhaillaan, kuinka suurta asiakasjoukkoa tilanne koskee. Väärinkäytöksessä on mahdollisesti käytetty aikaisemmin muihin organisaatioihin tehtyjen tietomurtojen seurauksena saatuja henkilötunnuksia.


Traficomin ajoneuvorekisterin tietoja käytetty väärin :
Väärinkäyttö koskee ajoneuvojen omistajia ja haltijoita, joiden tietoja on kysytty palvelusta ilman perustetta. Kyseessä on tämänhetkisen tiedon mukaan noin 65 000 omistajaa ja haltijaa, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx - ALJ-xxx. Väärinkäytön johdosta ajoneuvojen omistajien ja haltijoiden henkilötunnuksia on päätynyt asiakkaan järjestelmästä kolmannen osapuolen haltuun. Lisäksi väärinkäytön yhteydessä palvelusta on haettu julkisesti saatavilla olevia nimiä, osoitteita ja ajoneuvojen teknisiä tietoja. Traficom on estänyt tietojen luovuttamisen asiakkaan palveluun.

Jos kaikissa 65000 tiedossa on ollut hetu mukana, on tuo sitten jo tuplamäärä Vastaamosta karanneiden hetujen määrään verraten... Herää myös kysymys, koska murrot on tehty ja kauanko esim. noiden 65000 tiedon imurointiin on mennyt? Onko luottorekisterillä ja Traficomilla ollut mitään rajoitusta, kuinka nopeasti ja paljon kerralla saa rajapinnan kautta tehtyä kyselyitä?
 
Traficomilta ja positiivisesta luottorekisteristä on haettu tietoja oikein urakalla rajapintojen kautta, kun jollakin 'luottolaitoksella' on ollut tietoturva-ongelma järjestelmässään.

Positiivisesta luottotietorekisteristä kysytty luottotietorekisteriotteita väärin perustein :



Traficomin ajoneuvorekisterin tietoja käytetty väärin :


Jos kaikissa 65000 tiedossa on ollut hetu mukana, on tuo sitten jo tuplamäärä Vastaamosta karanneiden hetujen määrään verraten... Herää myös kysymys, koska murrot on tehty ja kauanko esim. noiden 65000 tiedon imurointiin on mennyt? Onko luottorekisterillä ja Traficomilla ollut mitään rajoitusta, kuinka nopeasti ja paljon kerralla saa rajapinnan kautta tehtyä kyselyitä?

Jokohan näiden jatkuvien tietomurtojen jälkeen valtiovalta vihdoin herää ja kieltää henkilötunnuksen käytön ”asiakkaan” tunnistamisessa. Tähän tarkoitukseen esim. EU:n digitaalinen indentiteetti voisi olla paikallaan, jos kaikille ei pankkitunnuksia tai mobiilivarmennetta annetta.

Täällä on juttua EU:n digitaalisesta identiteetistä:
.
 
Vuosia aikaisemmin poistetut kuvat pomppii takaisin iphonella uusimman päivityksen myötä.

Eräs käyttäjä kertoo yllättäen havainneensa vuonna 2010 hävittämiään sisältöjä älypuhelimensa kansioissa. Toinen taas kuvailee, kuinka hyvin arkaluontoisia, aikanaan poistettuja kuvia on yhtäkkiä jälleen ilmaantunut näkyviin.


Kerran netissä aina netissä. Ihan hyvä vaan jos melkeen 15v vanhat "poistetut" kuvat alkaa pomppiin takas.
 
Jokohan näiden jatkuvien tietomurtojen jälkeen valtiovalta vihdoin herää ja kieltää henkilötunnuksen käytön ”asiakkaan” tunnistamisessa. Tähän tarkoitukseen esim. EU:n digitaalinen indentiteetti voisi olla paikallaan, jos kaikille ei pankkitunnuksia tai mobiilivarmennetta annetta.

Täällä on juttua EU:n digitaalisesta identiteetistä:
.
Niin, olen tuosta hetusta kanssasi samaa mieltä. Ei sen pitäisi olla muuta kuin meidän "sarjanumero". Nythän tilanne on käytännössä, että nimi on käyttäjätunnus, ja hetu taas on kovakoodattu salasana, jota ei voi vaihtaa...
 
Jouduin muutama viikko sitten käyttämään työsähköpostiin (O365) Outlookin selainversiota, kun Outlook -sovellus olin jonkin verran juntturassa.

Ja arvatkaas, se selain-Outlook kaivoi deleted -kansiosta kaikki aikapäiviä sitten poistetut sähköpostit (vuodesta 2010 asti, jolloin siirryin nykyiseen työpaikkaani). Ja niitä oli todella paljon.

Olen säännöllisesti tyhjentänyt nuo deleted -kansiot, mutta näköjään mikkisofta ne kuitenkin on arkistoinut jonnekin palvelimensa ja pilvensä syövereihin.
Aikaisemmin meillä oli pitkään käytössä dedikoitu Exchange -palvelin, sitten oman firman O365 ja nykyisin kansainvälisen emoyhtiön O365 (tai M365, mikä on tältä osin aivan sama asia).
Kuitenkin ne 14 vuotta sitten tuhotut sähköpostit ovat jollakin ilveellä kulkeutuneet tähän kolmanteenkin sähköpostitoteutukseen.

Tein tästä toiminnasta tietoturvailmoituksen, mutta eipä siitä mitään palautetta ole vielä tullut. Ja tuskin tuleekaan.
 
Jouduin muutama viikko sitten käyttämään työsähköpostiin (O365) Outlookin selainversiota, kun Outlook -sovellus olin jonkin verran juntturassa.

Ja arvatkaas, se selain-Outlook kaivoi deleted -kansiosta kaikki aikapäiviä sitten poistetut sähköpostit (vuodesta 2010 asti, jolloin siirryin nykyiseen työpaikkaani). Ja niitä oli todella paljon.

Olen säännöllisesti tyhjentänyt nuo deleted -kansiot, mutta näköjään mikkisofta ne kuitenkin on arkistoinut jonnekin palvelimensa ja pilvensä syövereihin.
Aikaisemmin meillä oli pitkään käytössä dedikoitu Exchange -palvelin, sitten oman firman O365 ja nykyisin kansainvälisen emoyhtiön O365 (tai M365, mikä on tältä osin aivan sama asia).
Kuitenkin ne 14 vuotta sitten tuhotut sähköpostit ovat jollakin ilveellä kulkeutuneet tähän kolmanteenkin sähköpostitoteutukseen.

Tein tästä toiminnasta tietoturvailmoituksen, mutta eipä siitä mitään palautetta ole vielä tullut. Ja tuskin tuleekaan.

Tai työnantaja on määrittänyt vähän pidempiä säilytyskäytäntöjä.. 365 on kattavat työkalut poistaa dataa tai säilyttää dataa riippumatta siitä mitä työntekijä tekee.
 
Vuosia aikaisemmin poistetut kuvat pomppii takaisin iphonella uusimman päivityksen myötä.




Kerran netissä aina netissä. Ihan hyvä vaan jos melkeen 15v vanhat "poistetut" kuvat alkaa pomppiin takas.
Toimittaja ei ole tainnut ymmärtää koko asiaa. Eihän tuota voi kutsua päivityksen bugiksi ja se järkyttävä osuus on, että Apple säilöö käyttäjien dataa ilmeisesti määrättömän pitkän ajan.

Nyt päivitys toi syystä tai toisesta tämän säilyttämisen esille ja toivoa sopii asiaan puututtavan. Toki johonkin pakkohyväksyttävään, loputtoman pitkään soppariin voidaan laittaa melkein mitä tahansa mutta aivan varmasti asia olisi pinnalla ollut jos suoraan kerrottaisiin, ettei edes käyttäjän poistamaa dataa todellisuudessa poisteta.

Kun vuotoja on jatkuvasti eri toimijoilla, sopii todella huonosti mukaan kuvaan, jollei käyttäjä voi itse päättää edes itse tuottamastaan sisällöstä.
 
Tai työnantaja on määrittänyt vähän pidempiä säilytyskäytäntöjä.. 365 on kattavat työkalut poistaa dataa tai säilyttää dataa riippumatta siitä mitä työntekijä tekee.
Ja taustalla voi olla suositukset tai pakottava säädökset. Olisi toki hyvä että työntekijät koulutettu tietoiseksi asiasta, oli tausta syy mikä tahansa.
Mielenkiintoista kuulla että oliko tuossa tapauksessa joki tietoturva häikkä, ajatustasolla ei välttämättä hyvä jos käyttäjä pääsee poistettuihin tietoihin. (esim jos poistelaa viestejä ajatuksella esim arkaluenteisia tietoja )
 
Ja taustalla voi olla suositukset tai pakottava säädökset. Olisi toki hyvä että työntekijät koulutettu tietoiseksi asiasta, oli tausta syy mikä tahansa.
Kerro yksikin syy tai suositus, minkä varjolla on ok säilöä kaikki 14 vuotta työntekijän tietämättä?
Liittyy uutisiin tasan nolla mutta jokainen työntekijä tietää kyllä jos virallinen politikkka on säilöä kaikki ikuisesti. Tällaisia tahoja on harvassa eivätkä kyllä liity ketjuun.
 
Jos verkkis sai 150k€ sakot siitä kun ei automaattisesti poista asiakkaan tilaushistoriasta yli 10v vanhoja tilauksia, niin jotenkin tuohon pitäisi suhteuttaa rankku jos pilvi ei poista oikeasti poistettuja tiedostoja.
 
1716018756268.png


1716018889858.png



Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.
 
1716018756268.png


1716018889858.png



Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.

Saanut pari samanlaista postia tänään. Ja ollut aiemmin Lähitapiolan asiakas, mutta en enää.
 
1716018756268.png


1716018889858.png



Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.

Taitavat käyttää tuota Adobe Campaignia markkinointiviestien lähetykseen. Nähtävästi jotain mennyt pieleen, että nuo error viestit ovat lähteneet asiakkaille päin. Eli olisikohan siellä yritetty importata ajantasainen lista käyttäjätietoja sähköposteineen (Jossa varmaan myös vanhoja asiakkaita) ja sitä varten tehty workflow on mennyt totaalisesti pieleen.
 
Suomen luotetuin vakuutusyhtiö | Tervetuloa | LähiTapiola sanoo nyt "LähiTapiolan nimissä on lähtenyt kalasteluviestejä. Viestejä eikä mitään linkkejä tule avata!
Verkkopalvelussa tehdään huoltotöitä lauantaina 18.5. klo 1.35 – 13 sekä lauantaina 18.5. klo 21 - sunnuntaina 19.5. klo 10, jonka aikana osa palveluista on pois käytöstä. Pahoittelemme häiriötä"
 
Suomen luotetuin vakuutusyhtiö | Tervetuloa | LähiTapiola sanoo nyt "LähiTapiolan nimissä on lähtenyt kalasteluviestejä. Viestejä eikä mitään linkkejä tule avata!
Verkkopalvelussa tehdään huoltotöitä lauantaina 18.5. klo 1.35 – 13 sekä lauantaina 18.5. klo 21 - sunnuntaina 19.5. klo 10, jonka aikana osa palveluista on pois käytöstä. Pahoittelemme häiriötä"
Nyt taas myöntävät että oli oma moka:

LähiTapiolan nimissä on lähtenyt sähköpostiviestejä lähetysjärjestelmässä tapahtuneen virheen johdosta. Viestit ja linkit ovat vaarattomia, mutta niitä ei tule silti avata. Pahoittelemme tapahtunutta.

Ei deploy menny ihan nappiin, paljonkohan on kylmää hikeä vuodatettu...
 
Datan pitäisi hapantua tarpeeksi nopeesti niin että ryöstetyllä datalla ei lopulta ole mitään arvoa.
MFA kaikkialle. Ja pakollisena.
Ensimmäisessä nyt ei ole mitään järkeä miltään kantilta. Miten voit tehdä ja tuottaa mitään ilman dataa. Saati sitten tutkia mitään, jos mitään ei säilytetä.
 
Salasanat ei ole helposti saatavilla ja hetuja toivottavasti kukaan ei lisää AD tunnuksiin.

Tarkempaa tietoa kun ei ole että mistä salasanoista on kyse, jos AD:n niin aletaan olla jo aika syvissä vesissä. Tulee golden ticket jo mieleen.
 
Tarkempaa tietoa kun ei ole että mistä salasanoista on kyse, jos AD:n niin aletaan olla jo aika syvissä vesissä. Tulee golden ticket jo mieleen.
Yhdessä uutisessa mainittiin, että verkkolevylle pääsyyn käytettiin tunnuksia, jolle oli saatu annettua jonkinlaiset pääkäyttäjätason oikeudet... Käyttäjällä ei oikeasti ollut niin laajaa pääsyä levylle.
Sitähän ei ole uutisoitu vielä missään, minkä tyyppisestä verkkolevystä (tai verkkolevyistä monikossa) on kyse. Windows-serveri, AD-liitetty levypönttö, joku muu...? Mutta tuo murtajan tekemä tunnarin oikeuksien nosto kuullostaa Winkkarilta...
 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 428
Viestejä
4 550 938
Jäsenet
74 985
Uusin jäsen
Cactus

Hinta.fi

Back
Ylös Bottom