Tietoturvauutiset ja blogipostaukset
- Keskustelun aloittaja Sampsa
- Aloitettu
- Liittynyt
- 11.11.2023
- Viestejä
- 187
Itsellä tuo Tvilio käytössä, voi hemmetti. Siirryin joskus Microsoftin authenticatorista jostain syystä ja nyt joudun kuitenkin Microsoftia käyttämään salasanattoman tilin takia, eli pitäisi kai nähdä vaiva ja siirtää loputkin takaisin. Tuossa oli vaan muistaakseni joku etu mitä ei Microsoftin jutussa ollut(pilvitallennus?) vai mikäköhän oli miksi siirryin 
- Liittynyt
- 17.10.2016
- Viestejä
- 370
Vaikka WRT54G oli kova purkki aikanaan, ehkä jättäisin nämä tuoreimmat ostamatta.
stackdiary.com
Selvästi konekäännetty tuosta lähteestä, mutta eiköhän se pääosin selväksi tullut.
Linksys Velop routers send Wi-Fi passwords in plaintext to US servers
According to Testaankoop, the Belgian equivalent of the Consumers' Association, two types of Linksys routers are sending Wi-Fi login details in plaintext
stackdiary.com
Selvästi konekäännetty tuosta lähteestä, mutta eiköhän se pääosin selväksi tullut.
- Liittynyt
- 07.07.2019
- Viestejä
- 1 498
Eihän tuo mitenkään sitä estä, että tunnukset ja shared secretit vuotaa siitä palvelusta jonka kanssa niitä käytetään. Siksi on olemassa järjestelmiä jotka ei käytä shared secrettiä kuten WebAuthn / FIDO2. FIDO2 tarjoaa myös automattisesti mahdollisuuden avainten turvalliseen säilyttämiseen niin, että niitä ei voida varastaa, ainakaan mitenkään kohtuullisin resurssein.
Olikos Blast-RADIUS hyökkäys jo mainittu? MITM:illä sisään järjestelmiin ilman salasanaa, koska käyttää MD5:sta. Ei sinänsä yllätä, perusteet ihan perusteita, sovellettu vaan. Kivan logon ja saitinkin ovat vaivautuneet tekemään asialle.
Viimeksi muokattu:
- Liittynyt
- 17.10.2016
- Viestejä
- 4 190
Taas tuli konkreettinen havainto miksi nämä tietoturva asiat on nykyäään tärkeitä. Tuossa näpyttelin ei vielä varsinaisessa käytössä olevaan Mikrotikin reitittimeen palomuurisääntöjä ja testausta varten oli ping sallittuna wanista ja kylläpä vaan riitti koputtelijoita kun pistin säännölle hetkeksi loggauksen päälle. Sitten oli vahingossa pari minuuttia säännöt niin että hallintaportit oli auki internettiin päin kun pyörittelin sääntöjen järjestystä ja kylläpä oli botit koittaneet paukuttaa sisäänkirjautumista eri tavoin.
CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita
www.capitalbrief.com
Global website outage caused by CrowdStrike cybersecurity glitch
Banks, airlines, media, supermarkets and tech platforms in Australia and across the world have been hit with a simultaneous outage caused by a cybersecurity glitch related to CrowdStrike software.
Samaan aikaan Microsoftilla: Microsoft 365 remains 'degraded' as Azure outage resolved
" Microsoft 365 remains 'degraded' as Azure outage resolved - Central US region is back in business but Office apps still in trouble"
" Microsoft 365 remains 'degraded' as Azure outage resolved - Central US region is back in business but Office apps still in trouble"
- Liittynyt
- 18.07.2024
- Viestejä
- 46
Tuo on yrityspuolella käytössä sekä työasemissa että palvelimissa. Tämä ongelma koskee vain Windows-käyttöjärjestelmää. Ei siis Linux-käyttiksiä tai MacOS yms.
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 313
Onhan edellisestä sekoilusta Ridiculous vulnerability disclosure process with CrowdStrike Falcon Sensor | mod%log jo muutama vuosi aikaa.CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita
Global website outage caused by CrowdStrike cybersecurity glitch
Banks, airlines, media, supermarkets and tech platforms in Australia and across the world have been hit with a simultaneous outage caused by a cybersecurity glitch related to CrowdStrike software.
- Liittynyt
- 26.04.2017
- Viestejä
- 1 339
Tämä on se riski, kun on liian paljon identtinen softa käytössä kaikkialla, nykytrendin mukaan automaattiset päivitykset ja sitten tulee jokin rikkinäinen päivitys jakoon ja kaikki sammuu kerrasta. CrowdStrike ei taida ihan heti saada uusia asiakkaita tällaisen mainehaitan jälkeen.
- Liittynyt
- 19.10.2016
- Viestejä
- 1 534
Näitä on käynyt aika pitkälti jokaiselle av valmistajalle, joten tuskimpa hirveästi haittaa menoa kärkipaikalla, kun ei huonommillakaan valmistajilla.
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 157
CrowdStriken päivitys aiheuttanut häiriöitä Windows-laitteissa | Kyberturvallisuuskeskus
CrowdStrike-tietoturvaohjelmiston päivitys on aiheuttanut Windows-laitteissa toistuvan uudelleenkäynnistymistilan (boot loop). CrowdStrike on pääosin organisaatiokäytössä oleva tietoturvaohjelmisto. Tapauksesta on aiheutunut häiriöitä ja käyttökatkoja organisaatioille ja eri palveluille ympäri...
www.kyberturvallisuuskeskus.fi
Niinno, ilman automaattisia pakotettuja päivityksiä ei mikään, edes krittinen hyvä tietoturvakorjaus tulisi ikinä asennetuksi yhteenkään koneeseen maailmalla. Se mikä on vuosien varrella muuttunut, että IT-osasto ei näitä enää ennakkoon testaa, vaan suoraan toimittajien loppuasiakas
- Liittynyt
- 17.10.2016
- Viestejä
- 4 190
Voisi olettaa että noin suuressa palvelussa se tietoturva on monnen asiakkaan kohdalla ostettu palveluna jolloin toki luotetaan automaattiseen päivitykseen. En ole kaivellut sen tarkemmin kuinka isosta päivityksestä edes on ollut kyse mitä on ajettu eli pitikö olla kuinka "perus kauraa". Ilmeisesti tuo ongelma vaan on mallia hankala korjata sillä ainakin kyberturvallisuuskeskuksen mukaan:
Joten rollback ei ole helposti tehtävissä välttämättä.
Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.
Joten rollback ei ole helposti tehtävissä välttämättä.
Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.
Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä. Virtuaalikoneisiin tuon saa tehtyä etänä tai palautettua vain aikaisempi snapshot tai backup.
Juuri tuon takia en ainakaan itse töissä koskaan päivittele mitään perjantaisin ellei ole aivan pakko. Aikanaan opin jo ihan asentajahommissa sen että jos joku voi mennä pieleen niin se menee todennäköisimmin pieleen perjantaisin. Pari kertaa tuli meinaan käytyä "ihan pienellä huoltokeikalla" perjantai-aamupäivänä ja sitten totesikin iltakahdeksan nurkilla ettei mennyt ihan putkeen...
Meillä ainakin ajetaan päivitykset manuaalisesti kaikkiin servereihin ja oleellisimpiin laitteisiin, yleensä alkuviikosta ja ihan vain sen takia että kun joku menee pieleen niin vitutuksen määrä jää huomattavasti pienemmäksi kun ei mene viikonloppukin pilalle.
- Liittynyt
- 19.10.2016
- Viestejä
- 1 534
Crowdstrikessa pystyy valitsemaan ainakin agenttien versioiden päivityksien osalta esim. N-1, n-2, tietty versio. Tunnisteiden osalta en muista voiko vastaavasti, mutta niiden osalta onkin sitten isompi riski zeroday asioiden kanssa jos niiden päivityksiin laittaa viivettä.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.
- Liittynyt
- 17.10.2016
- Viestejä
- 4 190
Joo, ainakin redditin perusteella näyttäisi siltä että kyse on juurikin tunnisteiden päivityksestä joka tosiaan taitaa yleensä olla automaationa ja lisäksi siellä tiedettiin että niitä päivityksiä niihin rullataan joskus useitakin kertoja päivässä.
- Liittynyt
- 17.10.2016
- Viestejä
- 1 266
Hiukan voi olla haastava kun kone on BSOD loopissa. Ja vielä aika usein niissä suurissa organisaatioissa joiden IT managereihin tällainen crowdstrike uppoaa kuin väärä raha loppukäyttäjällä ei ole edes admin-oikeuksia koneeseensa saati että bitlockerin avaimia tiedossa. IT:llä mahtaa tulla pitkähkö viikonloppu...
- Liittynyt
- 08.04.2022
- Viestejä
- 1 225
Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.
Aika paksu väite. Ainakin omalla työpaikalla noita päivityksiä seurataan ja asennetaan harkitusti.
Niinkö meinaat? Jo muutaman sadan käyttäjän ympäristöissä päivittäin useita estettyjä eritasoisia uhkia aina ransomwaresta kännissä ja läpällä näytönsäästäjä pränkkiin. Ja jokainen vastaantuleva usb-liittimen omaava esine myös tungetaan työkoneeseen kiinni
- Liittynyt
- 17.10.2016
- Viestejä
- 1 266
Itsellä muodostunut tässä vuosien varrella sellainen teoria että kun organisaation IT kasvaa tarpeeksi suureksi niin jossakin vaiheessa managementtiin alkaa pesiytyä porukkaa joiden osaaminen on muualla kuin tietoturvassa tai IT:ssä ylipäätään.
Näille kuitenkin tulee paljon vastuuta monestakin syystä, niin täytyy ratkaista se ongelma sillä osaamisella mitä sattuu löytymään. Eli tavoite ei olekaan ehkäistä pökäleen osumista tuulettimeen, eikä edes valmistautua sen seurausten hoitoon. Vaan tärkeimmäksi asiaksi muodostuu sen varmistaminen että kun se tilanne tulee, niin syyllinen on jo varmistettu ja se on joku muu.
Tälle porukalle myydäkseen Crowdstrikeä ja vastaavaa ei konsultin paljoa tarvitse töitä tehdä, muutama sopiva buzzword ja kyberturvallisuusfraasi, ja ymmärrys siitä että näin se vastuu ulkoistetaan kätevästi, niin kohta se kötöstys jähii organisaation jokaisessa koneessa pesukoneesta lähtien.
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
Crowdstrike on kyllä siinä mielessä jännä firma, että mm. minulla on kokemusta alalta reilut 20 vuotta, eikä ole kertaakaan tullut vastaan tuon firman tuotteet muuten kuin sivuhuomautuksissa ja uutisoinneissa erinäisiä hakkerointitapausten selvityksiä koskien. Firman markkinoinnin focus on selvästi Euroopan ulkopuolella, mutta kovasti se on aiheuttanut ongelmia tuon kämminsä myötä globaalisti.
Mm. BBC uutisoi "globaalista IT-katkoksesta", josta ei todellisuudessa ole kyse, vaikka ongelma laaja onkin. Merkittäväksi tilanteen tekee se, että ongelmasta kärsii moni kansainvälinen iso yritys ja korjaus on hankala toteuttaa viallisen päivityksen aiheuttaman boottiloopin vuoksi. Ja jos koneessa on ollut käytössä Bitlocker, on korjaus erityisen hankalaa, koska se edellyttää systeemihakemistossa olevien tiedostojen poistamista. Kyse ei Crowdstiken mukaan ollut normaalista päivityksestä, eikä missään nimessä ulkopuolisesta hyökkäyksestä, vaan jonkin tietyn päivityskanavan myötä tulleesta viallisesta korjauksesta. Huvittavasti nyt jo näkee eri keskusteluissa ja uutisissa miten myös Microsoft on joutunut antamaan lausuntoja, vaikka tilanne ei liity käytännössä mitenkään heidän tekemisiin.
www.bbc.com
Mm. BBC uutisoi "globaalista IT-katkoksesta", josta ei todellisuudessa ole kyse, vaikka ongelma laaja onkin. Merkittäväksi tilanteen tekee se, että ongelmasta kärsii moni kansainvälinen iso yritys ja korjaus on hankala toteuttaa viallisen päivityksen aiheuttaman boottiloopin vuoksi. Ja jos koneessa on ollut käytössä Bitlocker, on korjaus erityisen hankalaa, koska se edellyttää systeemihakemistossa olevien tiedostojen poistamista. Kyse ei Crowdstiken mukaan ollut normaalista päivityksestä, eikä missään nimessä ulkopuolisesta hyökkäyksestä, vaan jonkin tietyn päivityskanavan myötä tulleesta viallisesta korjauksesta. Huvittavasti nyt jo näkee eri keskusteluissa ja uutisissa miten myös Microsoft on joutunut antamaan lausuntoja, vaikka tilanne ei liity käytännössä mitenkään heidän tekemisiin.
CrowdStrike and Microsoft: What we know about global IT outage
A mass IT outage has caused chaos around the world, with major airlines among the victims.
www.bbc.com
Onnea matkaan jonkun DC-koneen snapshottien palautuksen kanssa.
Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.
Viimeksi muokattu:
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 313
Eikä ne manuaaliasennuksetkaan pelasta tilannetta. Päivitys joko rikkoo, tai on rikkomatta järjestelmiä. Manuaalisen työn sijaan on huomattavasti tehokkampaa ajastaa päivitykset vaiheittaisiin ryhmiin, jotta kaikki munat eivät olisi samassa korissa samaan aikaan. Vikatilanteissa ajastetut päivitykset voi laittaa jäihin ja huoltaa niitä jo rikottuja palvelimia. Maailma on mennyt automaattiseen suuntaan ja niin myös vendoreiden softien testauksetkin.
Tietoturvankin kannalta on pienempi paha että päivitys rikkoo järjestelmiä, kuin että murto tapahtuu paikkaamattoman reijän takia kun manuaalihommissa kestää.
Crowdstriken meininki voi johtua myös kesälomakaudesta, kun mestarit on lomilla ja tuuraajat harjoittelevat lennosta.
Viimeksi muokattu:
- Liittynyt
- 08.04.2022
- Viestejä
- 1 225
Onhan noissa automaattipäivityksissä hyvätkin puolensa, mutta siitä huolimatta on kyllä aivan älytön riskitekijä, että joku yksittäinen päivitys voi saada näin paljon tuhoa aikaan pelkästään vahingossa. Sekä firmojen ja julkisen sektorin toimijoidenkin pitäisi tietenkin miettiä näitä riskejä. Liika luottamus johonkin yksittäiseen toimijaan voi muodostaa ihan merkittävän strategisen riskin.
Meillä onneksi on tiimejä jotka vastaavat x määrästä koneita joten tuo on vielä hallittavissa manuaalisesti. Olisikohan meillä joku reilu parikymmentä konetta (win+linux) ja yleensä ei niin kriittiset päivitetään ensiksi ja jos tulee jotain oireita niin homma seis välittömästi ja tutkitaan mistä on kyse. Muiden tiimien koneiden määrästä en tiedä. Linux-koneiden kanssa on helppoa mutta windows-serverit on kyllä sellaisia syyliä ettei pahemmasta väliä... Jos on määritelty että "älä boottaa missään tilanteessa automaattisesti" niin silti joskus joku kone päättää bootata jonkun päivityksen takia paskalla hetkellä tms. Noiden windowsin automaattiboottausten takia on useammankin kerran tullut kirosanoja suusta.
Täytyy sanoa että tuo manuaalinen päivitys on aikojen saatossa pelastanut monta kertaa päivän, useammankin kerran on tullut huomattua että joku hajosi päivityksessä ja sitten on vain yksi pannu korjattavaa.
- Liittynyt
- 19.10.2016
- Viestejä
- 1 534
Hahahhaha anteeksi, mutta selkeästi sinulla ei ole mitään kokemusta tietoturvasta oikeassa ja isommissa ympäristöissä.
Kuluttajana tai yksityisyrittäjänä varmaan pärjää sillä windowssin mukana tulevalla ilmaisella defenderillä, mutta ei todellakaan yrityksissä, joihin tehdään lähes taukoamatta eri vectoreista hyökkäyksiä ja käyttäjä on vieläkin 2024 vuonna se, joka sen liitteen avaa tai linkkiin menee tai syöttää tunnukset. Eli se päätelaitesuojaus on tärkeimpiä olla kunnossa.
Mutta joo ehken lähde väittelemään asioista tällä foorumilla, jossa henkilöt laukoo mitä mieleen tulee eivätkä ole koskaan olleet oikeissa kyberturvakeisseissä mukana selvityksessä.
- Liittynyt
- 18.07.2024
- Viestejä
- 46
With great power comes great responsibility
Excited to share with my fellow TECHBBS connections about the amazing new cyber security solution I recently discovered - CrowdStrike! This revolutionary platform has completely changed the game when it comes to combating dangerous malware threats like Windows Workstation and Windows Server.
As we all know, the online world can be a treacherous place filled with cyber threats at every turn, which is why it's crucial to have cutting-edge protection in place.
CrowdStrike offers a robust and sophisticated defense system that can detect and neutralize even the most advanced malware attacks before they can cause any harm. With its state-of-the-art technology and real-time threat intelligence, CrowdStrike provides unparalleled security for businesses and individuals alike. I'm truly amazed by the level of protection it offers and the peace of mind it brings in today's cyber landscape.
I highly recommend checking out CrowdStrike to all my connections who are serious about safeguarding their digital assets and data. Don't wait until it's too late - invest in your cyber security today and Live Free or Die!
Excited to share with my fellow TECHBBS connections about the amazing new cyber security solution I recently discovered - CrowdStrike! This revolutionary platform has completely changed the game when it comes to combating dangerous malware threats like Windows Workstation and Windows Server.
As we all know, the online world can be a treacherous place filled with cyber threats at every turn, which is why it's crucial to have cutting-edge protection in place.
CrowdStrike offers a robust and sophisticated defense system that can detect and neutralize even the most advanced malware attacks before they can cause any harm. With its state-of-the-art technology and real-time threat intelligence, CrowdStrike provides unparalleled security for businesses and individuals alike. I'm truly amazed by the level of protection it offers and the peace of mind it brings in today's cyber landscape.
I highly recommend checking out CrowdStrike to all my connections who are serious about safeguarding their digital assets and data. Don't wait until it's too late - invest in your cyber security today and Live Free or Die!
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 313
EDR / XDR-työkalut vaativat täydellisen luottamuksen toimiakseen. Käytännössä työkaluilla pitää olla (ja yleensä onkin) pääsy käyttöjärjestelmän matalimmalle tasolle. Samalla tämä luo vaaran jos ja nyt kun perinteinen käy, lopputulos on sen mukainen. Päivityksiä ei voi testata loputtomiin, koska tietoturvassa aika ja nopeus ovat valttia.
- Liittynyt
- 08.04.2022
- Viestejä
- 1 225
Nyt kylläkin vaikuttaa siltä, ettei ole testattu ollenkaan. Kai tuon olisi saanut kiinni kokeilemalla suunnilleen mille tahansa windows koneelle.
- Liittynyt
- 08.04.2022
- Viestejä
- 1 225
Sinä voit olla tätä mieltä. Omalta osaltani tämä varmisti sen, että mihinkään omiin systeemeihin ei tule mitään automaattisesti päivittyvää jatkossakaan. Tuo on käytännössä kuin antaisi RCE:n kehittäjille.
Se on totta, että suuri osa käyttäjistä klikkailee mitä tahansa linkkejä ja latailee kaikkia random .exejä netistä yms. Ehkä itsellä on ajatusvinouma kun olen pääasiassa tekemisissä teknisten ihmisten kanssa enkä edes käytä windowsia. Onko se, että osa ihmisistä on tuollaisia huithapeleita sitten hyvä syy viritellä tällaisia systeemejä, joilla on potentiaalia aiheuttaa näin suurta vahinkoa. Lääke on melkein pahempi kuin itse tauti.
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 313
Sekin voi olla täysin mahdollista. Toivottavasti paljastavat syyn.
- Liittynyt
- 18.07.2024
- Viestejä
- 46
Ymmärtääkseni Crowdstriken ajuri yhdistettynä päivityskanavan konfiguraatiotiedostoon aiheutti tämän ongelman. Olisivatko sitten päivittäneet sekä ajurin että asetustiedoston, mutta eivät olleet muistaneet testata tuota kombinaatiota yhdessä?
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
Alla on yksittäisen C++ -koodaajan hyvä analyysi tuosta CrowdStriken tapauksen aiheuttajasta.
Käytännössä CrowdStrikella on puutteita laadunvalvonnassa ja kehitystyökaluissa ja sen myötä tuon yhden päivityksen koodaaja oli onnistunut jättämään koodista pois tarkistuksen, ettei softa yritä lukea/kirjoittaa käyttöjärjestelmän kielletylle muistialueelle. Normaalitilanteessa tuollainen kämmi aiheuttaa vain yksittäisen kyseisen sovelluksen kaatumisen, mutta koska CrowdStrike toimii poikkeuksellisesti ajuritasolla, ei käyttöjärjestelmällä ole nykytilanteessa muuta vaihtoehtoa kuin kipata koko systeemi, mikäli joku ajuri toimii noin.
Ja sama vielä helpommin luettavassa muodossa:
threadreaderapp.com
Käytännössä CrowdStrikella on puutteita laadunvalvonnassa ja kehitystyökaluissa ja sen myötä tuon yhden päivityksen koodaaja oli onnistunut jättämään koodista pois tarkistuksen, ettei softa yritä lukea/kirjoittaa käyttöjärjestelmän kielletylle muistialueelle. Normaalitilanteessa tuollainen kämmi aiheuttaa vain yksittäisen kyseisen sovelluksen kaatumisen, mutta koska CrowdStrike toimii poikkeuksellisesti ajuritasolla, ei käyttöjärjestelmällä ole nykytilanteessa muuta vaihtoehtoa kuin kipata koko systeemi, mikäli joku ajuri toimii noin.
Ja sama vielä helpommin luettavassa muodossa:
Thread by @Perpetualmaniac on Thread Reader App
@Perpetualmaniac: Crowdstrike Analysis: It was a NULL pointer from the memory unsafe C++ language. Since I am a professional C++ programmer, let me decode this stack trace dump for you. Memory in your computer is la...…
threadreaderapp.com
- Liittynyt
- 18.07.2024
- Viestejä
- 46
Jos ajuri olisi tehty toimimaan user modessa, niin se olisi vain tuon virheen seurauksena kaatunut, mutta kun se oli tehty toimimaan kernel modessa, niin kaatoi koko käyttöjärjestelmän. Muistaakseni Dave Cutler (Windowsin pääkehittäjä) sanoi jossain, että on huono ajatus sallia kolmannen osapuolen ajureille kernel modessa toimiminen.
Vähän pakko antaa edr tuotteelle user modea paremmat paukut jos sillä meinaa jotain havaita tai jopa estää
Toisaalta taas tuollainen tietoturvaohjelmisto yleensä vaatii vähän laajempia oikeuksia käyttöjärjestelmään joten usermodessa se ei todennäköisesti toimisi.
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
Tavallisen käyttäjän kontekstissa toimiva tietoturvasovellus olisi täysin hyödytön. Ei sillä, että näillä kolmannen osapuolen turvasoftilla olisi nykypäivänä automaattisesti muutenkaan mitään mainittavaa lisäarvoa.
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
Jos kyse on tietoturvasovelluksesta joka toimii systeemin oikeuksin, niin ei sen yksittäisiä päivityskikkareita voi tuotannossa enää testailla erikseen jollakin toisella tavalla siltä varalta, että tuote ei toimisikaan kuten on suunniteltu, eikä varsinkaan voi antaa mahdollisuutta jollekin nollapäivähaavoittuvuudelle estää päivityksen asentumista. Sellainen kuulostaa lähinnä siltä, että laitetaan asiakas betatestaajaksi kriittisen sovelluksen toiminnassa. Ensisijaisesti QA pitää tehdä toimittajan päässä ennen kuin rikkinäistä päivitystä ylipäätään laitetaan jakeluun.
Tuossa CrowdStriken Falconissa ei kyse kuitenkaan ollut mistään pihtiputaan mummolle Prisman aulassa hääräävän feissarin toimesta myydystä turvatuotteesta, vaan yrityskäyttöön suunnitellusta tietoturvasovelluksesta, jota käyttää merkittävä osa Fortune 500 -listalla olevista yrityksistä ja jotka myös maksavat sen toiminnasta isoja summia.
Monta muuta asiaa tuossa kokonaisuudessa voisi toki tehdä toisin, mutta tällä hetkellä tilanne on tämä.
Viimeksi muokattu:
- Liittynyt
- 17.10.2016
- Viestejä
- 1 266
Eihän se user mode tarkoita että tavallisena käyttäjänä ajellaan. Tai ei ainakaan pitäisi tarkoittaa.
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
No joo, ei sentään ihan tavallisena käyttäjänä, mutta tiivistetysti Windowsin ajureilla on tasan kaksi eri tilaa, user mode ja kernel mode. Ensimmäinen tarkoittaa sitä, että prosessilla ei ole pääsyä kuin omaan virtuaaliseen muistiavaruuteensa.
User Mode and Kernel Mode - Windows drivers
A processor in a computer running Windows has two different modes - user mode and kernel mode.
learn.microsoft.com
- Liittynyt
- 17.10.2016
- Viestejä
- 1 266
No joo, ei sentään ihan tavallisena käyttäjänä, mutta tiivistetysti Windowsin ajureilla on tasan kaksi eri tilaa, user mode ja kernel mode. Ensimmäinen tarkoittaa sitä, että prosessilla ei ole pääsyä kuin omaan virtuaaliseen muistiavaruuteensa.
User Mode and Kernel Mode - Windows drivers
A processor in a computer running Windows has two different modes - user mode and kernel mode.learn.microsoft.com
Sitä suuremmalla syyllä. Kuulostaa pähkähullulta turvallisuusmallilta että pitäisi päästää suljettu kolmannen osapuolen kötöstys paikkaan missä sillä on pääsy n. kaikkeen.. ja luottaa siihen että se osaa toimia aina oikein eikä härpi asioita jotka eivät sille(kään) kuulu.
Ensimmäinen jo pelkästään tämän kyseisen "turva"tuotteen kohdalla osoittautui epärealistiseksi tavoitteeksi, miksi toinen olisi sen paremmin. Tai miksi se muiden vastaavien kohdalla olisi erilaista.
- Liittynyt
- 16.10.2016
- Viestejä
- 20 746
Niin, ei sinne kuuluisikaan päästä, mutta kun kaikesta huolimatta osa ison rahan yrityksistä kokee, että näin sen pitää olla, niin siihen on sitten Microsoftikin pitkin hampain taipunut, vaikka samaan aikaan kuinka yritetään opastaa toimimaan toisin (eli käyttämään MS:n omia turvatuotteita, jotka eivät toki ole nekään täysin aukottomia). Ihan mikä tahansa softa tuota mahdollisuutta ei sentään saa, mutta hieman liian helposti kuitenkin, kuten tässä nähtiin.
- Liittynyt
- 17.10.2016
- Viestejä
- 1 266
En tiedä muista mutta minusta tämä haiskahtaa vahvasti siltä että ihan yleisellä tasolla tietoturva on enemmän bisnesmiesten ja "visionäärien" kuin ammattilaisten käsissä..
- Liittynyt
- 19.10.2016
- Viestejä
- 1 534
Ihan samat ongelmat ms defender edr:lläkin saisi aikaan. Sitä paitsi ms on itse vielä muita jäljessä tuolla saralla eli heidän oma tuote ei ole heidän itsensä suojaamiseen paras. Ei monella muullakaan osa-alueella.
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 157
MacOS:ssa kyseiset softat käyttää System Extensions, joka User spacessa.
System extensions on macOS allow software like network extensions and endpoint security solutions to extend the functionality of macOS without requiring kernel-level access. DriverKit provides a fully modernized replacement for IOKit to create device drivers. System extensions and drivers built with DriverKit run in user space, where they can’t compromise the security or stability of macOS. Once installed, an extension is available to all users on the system and can perform tasks previously reserved for kernel extensions.
System Extensions ollut jo pitkään käytössä
System Extensions ollut jo pitkään käytössä
Microsoft Defender ATP for Mac is moving to system extensions
To ensure that Microsoft Defender ATP for Mac evolves in lock step with the macOS platform, public preview is now open for Microsoft Defender ATP for Mac..
techcommunity.microsoft.com
Uutiset
-
DeepCool julkaisi uudet LP240- ja LP360-AIO-coolerit matriisinäytöllä
22.11.2024 02:58
-
Google julkaisi Android 16:n ensimmäisen kehittäjäversion
22.11.2024 02:39
-
NVIDIA saavutti päättyneellä neljänneksellään jälleen uuden ennätystuloksen
22.11.2024 02:17
-
Pikakatsaus älypuhelinten Black Week 2024 -ennakkotarjouksiin
21.11.2024 22:38
-
SK Hynix aloitti maailman ensimmäisten yli 300-kerroksisten NAND-piirien tuotannon
21.11.2024 12:02
Uutisia lyhyesti
-
Chiefteciltä kaksikammioinen Visio-kotelo kahtena eri versiona- Juha Kokkonen
- Vastauksia: 1
-
-
