Tietoturvauutiset ja blogipostaukset

KeePassXC työpöydällä ja KeePassDX Androidissa + StrongBox iOS:ssä toimii myös 2FA-varastona.
 
Itsellä tuo Tvilio käytössä, voi hemmetti. Siirryin joskus Microsoftin authenticatorista jostain syystä ja nyt joudun kuitenkin Microsoftia käyttämään salasanattoman tilin takia, eli pitäisi kai nähdä vaiva ja siirtää loputkin takaisin. Tuossa oli vaan muistaakseni joku etu mitä ei Microsoftin jutussa ollut(pilvitallennus?) vai mikäköhän oli miksi siirryin :D
 
Vaikka WRT54G oli kova purkki aikanaan, ehkä jättäisin nämä tuoreimmat ostamatta.


During routine installation checks, Testaankoop detected several data packets being transmitted to an AWS server in the US. These packets included the configured SSID name and password in clear text, identification tokens for the network within a broader database, and an access token for a user session, potentially paving the way for a man-in-the-middle (MITM) attack.

Selvästi konekäännetty tuosta lähteestä, mutta eiköhän se pääosin selväksi tullut.
 
2FA-työkalut kannattaa valita sellaisiksi, että ne toimivat offlinessa ilman mitään tunnuksia mihinkään palveluun. Ei ole riskiä siitä, että tunnukset tai seedit vuotaa jonnekin.
Eihän tuo mitenkään sitä estä, että tunnukset ja shared secretit vuotaa siitä palvelusta jonka kanssa niitä käytetään. Siksi on olemassa järjestelmiä jotka ei käytä shared secrettiä kuten WebAuthn / FIDO2. FIDO2 tarjoaa myös automattisesti mahdollisuuden avainten turvalliseen säilyttämiseen niin, että niitä ei voida varastaa, ainakaan mitenkään kohtuullisin resurssein.

Olikos Blast-RADIUS hyökkäys jo mainittu? MITM:illä sisään järjestelmiin ilman salasanaa, koska käyttää MD5:sta. Ei sinänsä yllätä, perusteet ihan perusteita, sovellettu vaan. Kivan logon ja saitinkin ovat vaivautuneet tekemään asialle.
 
Viimeksi muokattu:
Taas tuli konkreettinen havainto miksi nämä tietoturva asiat on nykyäään tärkeitä. Tuossa näpyttelin ei vielä varsinaisessa käytössä olevaan Mikrotikin reitittimeen palomuurisääntöjä ja testausta varten oli ping sallittuna wanista ja kylläpä vaan riitti koputtelijoita kun pistin säännölle hetkeksi loggauksen päälle. Sitten oli vahingossa pari minuuttia säännöt niin että hallintaportit oli auki internettiin päin kun pyörittelin sääntöjen järjestystä ja kylläpä oli botit koittaneet paukuttaa sisäänkirjautumista eri tavoin.
 
CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita
 
^ en ole koskaan kuullutkaan tuollaisesta ohjelmasta mutta ilmeisesti laajasti käytössä. Kalliiksi tulee jos lentokoneet eivät tuollaisen takia pääse ilmaan.
 
^ en ole koskaan kuullutkaan tuollaisesta ohjelmasta mutta ilmeisesti laajasti käytössä. Kalliiksi tulee jos lentokoneet eivät tuollaisen takia pääse ilmaan.
Tuo on yrityspuolella käytössä sekä työasemissa että palvelimissa. Tämä ongelma koskee vain Windows-käyttöjärjestelmää. Ei siis Linux-käyttiksiä tai MacOS yms.
 
CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita
Onhan edellisestä sekoilusta Ridiculous vulnerability disclosure process with CrowdStrike Falcon Sensor | mod%log jo muutama vuosi aikaa.
 
Tämä on se riski, kun on liian paljon identtinen softa käytössä kaikkialla, nykytrendin mukaan automaattiset päivitykset ja sitten tulee jokin rikkinäinen päivitys jakoon ja kaikki sammuu kerrasta. CrowdStrike ei taida ihan heti saada uusia asiakkaita tällaisen mainehaitan jälkeen.
 
Tämä on se riski, kun on liian paljon identtinen softa käytössä kaikkialla, nykytrendin mukaan automaattiset päivitykset ja sitten tulee jokin rikkinäinen päivitys jakoon ja kaikki sammuu kerrasta. CrowdStrike ei taida ihan heti saada uusia asiakkaita tällaisen mainehaitan jälkeen.
Näitä on käynyt aika pitkälti jokaiselle av valmistajalle, joten tuskimpa hirveästi haittaa menoa kärkipaikalla, kun ei huonommillakaan valmistajilla.
 
Ilman jotain automaattisia päivityksiä tätä ei olisi tapahtunut. Muodostaa aika suuren riskin. Ei vaadi muuta, kuin että firma tekee yhden pahemman virheen ja se päätyy automaattisesti koneille ympäri maailmaa.
 
Ilman jotain automaattisia päivityksiä tätä ei olisi tapahtunut. Muodostaa aika suuren riskin. Ei vaadi muuta, kuin että firma tekee yhden pahemman virheen ja se päätyy automaattisesti koneille ympäri maailmaa.
Niinno, ilman automaattisia pakotettuja päivityksiä ei mikään, edes krittinen hyvä tietoturvakorjaus tulisi ikinä asennetuksi yhteenkään koneeseen maailmalla. Se mikä on vuosien varrella muuttunut, että IT-osasto ei näitä enää ennakkoon testaa, vaan suoraan toimittajien loppuasiakas
 
Voisi olettaa että noin suuressa palvelussa se tietoturva on monnen asiakkaan kohdalla ostettu palveluna jolloin toki luotetaan automaattiseen päivitykseen. En ole kaivellut sen tarkemmin kuinka isosta päivityksestä edes on ollut kyse mitä on ajettu eli pitikö olla kuinka "perus kauraa". Ilmeisesti tuo ongelma vaan on mallia hankala korjata sillä ainakin kyberturvallisuuskeskuksen mukaan:

Häiriön korjaus vaatii tämänhetkisten tietojen valossa ylläpitäjän käynnin paikan päällä.

Joten rollback ei ole helposti tehtävissä välttämättä.

Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.
 
Voisi olettaa että noin suuressa palvelussa se tietoturva on monnen asiakkaan kohdalla ostettu palveluna jolloin toki luotetaan automaattiseen päivitykseen. En ole kaivellut sen tarkemmin kuinka isosta päivityksestä edes on ollut kyse mitä on ajettu eli pitikö olla kuinka "perus kauraa". Ilmeisesti tuo ongelma vaan on mallia hankala korjata sillä ainakin kyberturvallisuuskeskuksen mukaan:



Joten rollback ei ole helposti tehtävissä välttämättä.

Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.
Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä. Virtuaalikoneisiin tuon saa tehtyä etänä tai palautettua vain aikaisempi snapshot tai backup.

Juuri tuon takia en ainakaan itse töissä koskaan päivittele mitään perjantaisin ellei ole aivan pakko. Aikanaan opin jo ihan asentajahommissa sen että jos joku voi mennä pieleen niin se menee todennäköisimmin pieleen perjantaisin. Pari kertaa tuli meinaan käytyä "ihan pienellä huoltokeikalla" perjantai-aamupäivänä ja sitten totesikin iltakahdeksan nurkilla ettei mennyt ihan putkeen...

Meillä ainakin ajetaan päivitykset manuaalisesti kaikkiin servereihin ja oleellisimpiin laitteisiin, yleensä alkuviikosta ja ihan vain sen takia että kun joku menee pieleen niin vitutuksen määrä jää huomattavasti pienemmäksi kun ei mene viikonloppukin pilalle.
 
Crowdstrikessa pystyy valitsemaan ainakin agenttien versioiden päivityksien osalta esim. N-1, n-2, tietty versio. Tunnisteiden osalta en muista voiko vastaavasti, mutta niiden osalta onkin sitten isompi riski zeroday asioiden kanssa jos niiden päivityksiin laittaa viivettä.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.
 
Crowdstrikessa pystyy valitsemaan ainakin agenttien versioiden päivityksien osalta esim. N-1, n-2, tietty versio. Tunnisteiden osalta en muista voiko vastaavasti, mutta niiden osalta onkin sitten isompi riski zeroday asioiden kanssa jos niiden päivityksiin laittaa viivettä.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.
Joo, ainakin redditin perusteella näyttäisi siltä että kyse on juurikin tunnisteiden päivityksestä joka tosiaan taitaa yleensä olla automaationa ja lisäksi siellä tiedettiin että niitä päivityksiä niihin rullataan joskus useitakin kertoja päivässä.
 
Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä.

Hiukan voi olla haastava kun kone on BSOD loopissa. Ja vielä aika usein niissä suurissa organisaatioissa joiden IT managereihin tällainen crowdstrike uppoaa kuin väärä raha loppukäyttäjällä ei ole edes admin-oikeuksia koneeseensa saati että bitlockerin avaimia tiedossa. IT:llä mahtaa tulla pitkähkö viikonloppu...
 
Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.

Niinno, ilman automaattisia pakotettuja päivityksiä ei mikään, edes krittinen hyvä tietoturvakorjaus tulisi ikinä asennetuksi yhteenkään koneeseen maailmalla
Aika paksu väite. Ainakin omalla työpaikalla noita päivityksiä seurataan ja asennetaan harkitusti.
 
Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.
Niinkö meinaat? Jo muutaman sadan käyttäjän ympäristöissä päivittäin useita estettyjä eritasoisia uhkia aina ransomwaresta kännissä ja läpällä näytönsäästäjä pränkkiin. Ja jokainen vastaantuleva usb-liittimen omaava esine myös tungetaan työkoneeseen kiinni
 
Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.

Itsellä muodostunut tässä vuosien varrella sellainen teoria että kun organisaation IT kasvaa tarpeeksi suureksi niin jossakin vaiheessa managementtiin alkaa pesiytyä porukkaa joiden osaaminen on muualla kuin tietoturvassa tai IT:ssä ylipäätään.

Näille kuitenkin tulee paljon vastuuta monestakin syystä, niin täytyy ratkaista se ongelma sillä osaamisella mitä sattuu löytymään. Eli tavoite ei olekaan ehkäistä pökäleen osumista tuulettimeen, eikä edes valmistautua sen seurausten hoitoon. Vaan tärkeimmäksi asiaksi muodostuu sen varmistaminen että kun se tilanne tulee, niin syyllinen on jo varmistettu ja se on joku muu.

Tälle porukalle myydäkseen Crowdstrikeä ja vastaavaa ei konsultin paljoa tarvitse töitä tehdä, muutama sopiva buzzword ja kyberturvallisuusfraasi, ja ymmärrys siitä että näin se vastuu ulkoistetaan kätevästi, niin kohta se kötöstys jähii organisaation jokaisessa koneessa pesukoneesta lähtien.
 
Crowdstrike on kyllä siinä mielessä jännä firma, että mm. minulla on kokemusta alalta reilut 20 vuotta, eikä ole kertaakaan tullut vastaan tuon firman tuotteet muuten kuin sivuhuomautuksissa ja uutisoinneissa erinäisiä hakkerointitapausten selvityksiä koskien. Firman markkinoinnin focus on selvästi Euroopan ulkopuolella, mutta kovasti se on aiheuttanut ongelmia tuon kämminsä myötä globaalisti.

Mm. BBC uutisoi "globaalista IT-katkoksesta", josta ei todellisuudessa ole kyse, vaikka ongelma laaja onkin. Merkittäväksi tilanteen tekee se, että ongelmasta kärsii moni kansainvälinen iso yritys ja korjaus on hankala toteuttaa viallisen päivityksen aiheuttaman boottiloopin vuoksi. Ja jos koneessa on ollut käytössä Bitlocker, on korjaus erityisen hankalaa, koska se edellyttää systeemihakemistossa olevien tiedostojen poistamista. Kyse ei Crowdstiken mukaan ollut normaalista päivityksestä, eikä missään nimessä ulkopuolisesta hyökkäyksestä, vaan jonkin tietyn päivityskanavan myötä tulleesta viallisesta korjauksesta. Huvittavasti nyt jo näkee eri keskusteluissa ja uutisissa miten myös Microsoft on joutunut antamaan lausuntoja, vaikka tilanne ei liity käytännössä mitenkään heidän tekemisiin.

Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä. Virtuaalikoneisiin tuon saa tehtyä etänä tai palautettua vain aikaisempi snapshot tai backup.
Onnea matkaan jonkun DC-koneen snapshottien palautuksen kanssa. :D

Meillä ainakin ajetaan päivitykset manuaalisesti kaikkiin servereihin ja oleellisimpiin laitteisiin, yleensä alkuviikosta ja ihan vain sen takia että kun joku menee pieleen niin vitutuksen määrä jää huomattavasti pienemmäksi kun ei mene viikonloppukin pilalle.
Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.
 
Viimeksi muokattu:
Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.
Eikä ne manuaaliasennuksetkaan pelasta tilannetta. Päivitys joko rikkoo, tai on rikkomatta järjestelmiä. Manuaalisen työn sijaan on huomattavasti tehokkampaa ajastaa päivitykset vaiheittaisiin ryhmiin, jotta kaikki munat eivät olisi samassa korissa samaan aikaan. Vikatilanteissa ajastetut päivitykset voi laittaa jäihin ja huoltaa niitä jo rikottuja palvelimia. Maailma on mennyt automaattiseen suuntaan ja niin myös vendoreiden softien testauksetkin.

Tietoturvankin kannalta on pienempi paha että päivitys rikkoo järjestelmiä, kuin että murto tapahtuu paikkaamattoman reijän takia kun manuaalihommissa kestää.

Crowdstriken meininki voi johtua myös kesälomakaudesta, kun mestarit on lomilla ja tuuraajat harjoittelevat lennosta.
 
Viimeksi muokattu:
Onhan noissa automaattipäivityksissä hyvätkin puolensa, mutta siitä huolimatta on kyllä aivan älytön riskitekijä, että joku yksittäinen päivitys voi saada näin paljon tuhoa aikaan pelkästään vahingossa. Sekä firmojen ja julkisen sektorin toimijoidenkin pitäisi tietenkin miettiä näitä riskejä. Liika luottamus johonkin yksittäiseen toimijaan voi muodostaa ihan merkittävän strategisen riskin.
 
Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.
Meillä onneksi on tiimejä jotka vastaavat x määrästä koneita joten tuo on vielä hallittavissa manuaalisesti. Olisikohan meillä joku reilu parikymmentä konetta (win+linux) ja yleensä ei niin kriittiset päivitetään ensiksi ja jos tulee jotain oireita niin homma seis välittömästi ja tutkitaan mistä on kyse. Muiden tiimien koneiden määrästä en tiedä. Linux-koneiden kanssa on helppoa mutta windows-serverit on kyllä sellaisia syyliä ettei pahemmasta väliä... Jos on määritelty että "älä boottaa missään tilanteessa automaattisesti" niin silti joskus joku kone päättää bootata jonkun päivityksen takia paskalla hetkellä tms. Noiden windowsin automaattiboottausten takia on useammankin kerran tullut kirosanoja suusta.

Täytyy sanoa että tuo manuaalinen päivitys on aikojen saatossa pelastanut monta kertaa päivän, useammankin kerran on tullut huomattua että joku hajosi päivityksessä ja sitten on vain yksi pannu korjattavaa.
 
Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.


Aika paksu väite. Ainakin omalla työpaikalla noita päivityksiä seurataan ja asennetaan harkitusti.
Hahahhaha anteeksi, mutta selkeästi sinulla ei ole mitään kokemusta tietoturvasta oikeassa ja isommissa ympäristöissä.
Kuluttajana tai yksityisyrittäjänä varmaan pärjää sillä windowssin mukana tulevalla ilmaisella defenderillä, mutta ei todellakaan yrityksissä, joihin tehdään lähes taukoamatta eri vectoreista hyökkäyksiä ja käyttäjä on vieläkin 2024 vuonna se, joka sen liitteen avaa tai linkkiin menee tai syöttää tunnukset. Eli se päätelaitesuojaus on tärkeimpiä olla kunnossa.
Mutta joo ehken lähde väittelemään asioista tällä foorumilla, jossa henkilöt laukoo mitä mieleen tulee eivätkä ole koskaan olleet oikeissa kyberturvakeisseissä mukana selvityksessä.
 
With great power comes great responsibility

Excited to share with my fellow TECHBBS connections about the amazing new cyber security solution I recently discovered - CrowdStrike! This revolutionary platform has completely changed the game when it comes to combating dangerous malware threats like Windows Workstation and Windows Server.

As we all know, the online world can be a treacherous place filled with cyber threats at every turn, which is why it's crucial to have cutting-edge protection in place.

CrowdStrike offers a robust and sophisticated defense system that can detect and neutralize even the most advanced malware attacks before they can cause any harm. With its state-of-the-art technology and real-time threat intelligence, CrowdStrike provides unparalleled security for businesses and individuals alike. I'm truly amazed by the level of protection it offers and the peace of mind it brings in today's cyber landscape.

I highly recommend checking out CrowdStrike to all my connections who are serious about safeguarding their digital assets and data. Don't wait until it's too late - invest in your cyber security today and Live Free or Die!
 
Onhan noissa automaattipäivityksissä hyvätkin puolensa, mutta siitä huolimatta on kyllä aivan älytön riskitekijä, että joku yksittäinen päivitys voi saada näin paljon tuhoa aikaan pelkästään vahingossa. Sekä firmojen ja julkisen sektorin toimijoidenkin pitäisi tietenkin miettiä näitä riskejä. Liika luottamus johonkin yksittäiseen toimijaan voi muodostaa ihan merkittävän strategisen riskin.
EDR / XDR-työkalut vaativat täydellisen luottamuksen toimiakseen. Käytännössä työkaluilla pitää olla (ja yleensä onkin) pääsy käyttöjärjestelmän matalimmalle tasolle. Samalla tämä luo vaaran jos ja nyt kun perinteinen käy, lopputulos on sen mukainen. Päivityksiä ei voi testata loputtomiin, koska tietoturvassa aika ja nopeus ovat valttia.
 
Hahahhaha anteeksi, mutta selkeästi sinulla ei ole mitään kokemusta tietoturvasta oikeassa ja isommissa ympäristöissä.
Kuluttajana tai yksityisyrittäjänä varmaan pärjää sillä windowssin mukana tulevalla ilmaisella defenderillä, mutta ei todellakaan yrityksissä, joihin tehdään lähes taukoamatta eri vectoreista hyökkäyksiä ja käyttäjä on vieläkin 2024 vuonna se, joka sen liitteen avaa tai linkkiin menee tai syöttää tunnukset. Eli se päätelaitesuojaus on tärkeimpiä olla kunnossa.
Mutta joo ehken lähde väittelemään asioista tällä foorumilla, jossa henkilöt laukoo mitä mieleen tulee eivätkä ole koskaan olleet oikeissa kyberturvakeisseissä mukana selvityksessä.
Sinä voit olla tätä mieltä. Omalta osaltani tämä varmisti sen, että mihinkään omiin systeemeihin ei tule mitään automaattisesti päivittyvää jatkossakaan. Tuo on käytännössä kuin antaisi RCE:n kehittäjille.

Se on totta, että suuri osa käyttäjistä klikkailee mitä tahansa linkkejä ja latailee kaikkia random .exejä netistä yms. Ehkä itsellä on ajatusvinouma kun olen pääasiassa tekemisissä teknisten ihmisten kanssa enkä edes käytä windowsia. Onko se, että osa ihmisistä on tuollaisia huithapeleita sitten hyvä syy viritellä tällaisia systeemejä, joilla on potentiaalia aiheuttaa näin suurta vahinkoa. Lääke on melkein pahempi kuin itse tauti.
 
Nyt kylläkin vaikuttaa siltä, ettei ole testattu ollenkaan. Kai tuon olisi saanut kiinni kokeilemalla suunnilleen mille tahansa windows koneelle.
Sekin voi olla täysin mahdollista. Toivottavasti paljastavat syyn.
 
Sekin voi olla täysin mahdollista. Toivottavasti paljastavat syyn.
Ymmärtääkseni Crowdstriken ajuri yhdistettynä päivityskanavan konfiguraatiotiedostoon aiheutti tämän ongelman. Olisivatko sitten päivittäneet sekä ajurin että asetustiedoston, mutta eivät olleet muistaneet testata tuota kombinaatiota yhdessä?
 
Alla on yksittäisen C++ -koodaajan hyvä analyysi tuosta CrowdStriken tapauksen aiheuttajasta.

Käytännössä CrowdStrikella on puutteita laadunvalvonnassa ja kehitystyökaluissa ja sen myötä tuon yhden päivityksen koodaaja oli onnistunut jättämään koodista pois tarkistuksen, ettei softa yritä lukea/kirjoittaa käyttöjärjestelmän kielletylle muistialueelle. Normaalitilanteessa tuollainen kämmi aiheuttaa vain yksittäisen kyseisen sovelluksen kaatumisen, mutta koska CrowdStrike toimii poikkeuksellisesti ajuritasolla, ei käyttöjärjestelmällä ole nykytilanteessa muuta vaihtoehtoa kuin kipata koko systeemi, mikäli joku ajuri toimii noin.



Ja sama vielä helpommin luettavassa muodossa:

 
Jos ajuri olisi tehty toimimaan user modessa, niin se olisi vain tuon virheen seurauksena kaatunut, mutta kun se oli tehty toimimaan kernel modessa, niin kaatoi koko käyttöjärjestelmän. Muistaakseni Dave Cutler (Windowsin pääkehittäjä) sanoi jossain, että on huono ajatus sallia kolmannen osapuolen ajureille kernel modessa toimiminen.
 
Jos ajuri olisi tehty toimimaan user modessa, niin se olisi vain tuon virheen seurauksena kaatunut, mutta kun se oli tehty toimimaan kernel modessa, niin kaatoi koko käyttöjärjestelmän. Muistaakseni Dave Cutler (Windowsin pääkehittäjä) sanoi jossain, että on huono ajatus sallia kolmannen osapuolen ajureille kernel modessa toimiminen.
Vähän pakko antaa edr tuotteelle user modea paremmat paukut jos sillä meinaa jotain havaita tai jopa estää
 
Jos ajuri olisi tehty toimimaan user modessa, niin se olisi vain tuon virheen seurauksena kaatunut, mutta kun se oli tehty toimimaan kernel modessa, niin kaatoi koko käyttöjärjestelmän. Muistaakseni Dave Cutler (Windowsin pääkehittäjä) sanoi jossain, että on huono ajatus sallia kolmannen osapuolen ajureille kernel modessa toimiminen.
Toisaalta taas tuollainen tietoturvaohjelmisto yleensä vaatii vähän laajempia oikeuksia käyttöjärjestelmään joten usermodessa se ei todennäköisesti toimisi.
 
Jos ajuri olisi tehty toimimaan user modessa, niin se olisi vain tuon virheen seurauksena kaatunut, mutta kun se oli tehty toimimaan kernel modessa, niin kaatoi koko käyttöjärjestelmän. Muistaakseni Dave Cutler (Windowsin pääkehittäjä) sanoi jossain, että on huono ajatus sallia kolmannen osapuolen ajureille kernel modessa toimiminen.
Tavallisen käyttäjän kontekstissa toimiva tietoturvasovellus olisi täysin hyödytön. Ei sillä, että näillä kolmannen osapuolen turvasoftilla olisi nykypäivänä automaattisesti muutenkaan mitään mainittavaa lisäarvoa.
 
Tuon päivityspaketin purkamisen ja käsittelyn voisi kuitenkin tehdä user modessa. Eli jos se puoli epäonnistuu niin kerneli voi jatkaa toimintaansa edellisellä toimivalla paketilla ja laittaa viestin palvelimelle, että ei onnistunut nyt.
 
Tuon päivityspaketin purkamisen ja käsittelyn voisi kuitenkin tehdä user modessa. Eli jos se puoli epäonnistuu niin kerneli voi jatkaa toimintaansa edellisellä toimivalla paketilla ja laittaa viestin palvelimelle, että ei onnistunut nyt.
Jos kyse on tietoturvasovelluksesta joka toimii systeemin oikeuksin, niin ei sen yksittäisiä päivityskikkareita voi tuotannossa enää testailla erikseen jollakin toisella tavalla siltä varalta, että tuote ei toimisikaan kuten on suunniteltu, eikä varsinkaan voi antaa mahdollisuutta jollekin nollapäivähaavoittuvuudelle estää päivityksen asentumista. Sellainen kuulostaa lähinnä siltä, että laitetaan asiakas betatestaajaksi kriittisen sovelluksen toiminnassa. Ensisijaisesti QA pitää tehdä toimittajan päässä ennen kuin rikkinäistä päivitystä ylipäätään laitetaan jakeluun.

Tuossa CrowdStriken Falconissa ei kyse kuitenkaan ollut mistään pihtiputaan mummolle Prisman aulassa hääräävän feissarin toimesta myydystä turvatuotteesta, vaan yrityskäyttöön suunnitellusta tietoturvasovelluksesta, jota käyttää merkittävä osa Fortune 500 -listalla olevista yrityksistä ja jotka myös maksavat sen toiminnasta isoja summia.

Monta muuta asiaa tuossa kokonaisuudessa voisi toki tehdä toisin, mutta tällä hetkellä tilanne on tämä.
 
Viimeksi muokattu:
Tavallisen käyttäjän kontekstissa toimiva tietoturvasovellus olisi täysin hyödytön. Ei sillä, että näillä kolmannen osapuolen turvasoftilla olisi nykypäivänä automaattisesti muutenkaan mitään mainittavaa lisäarvoa.

Eihän se user mode tarkoita että tavallisena käyttäjänä ajellaan. Tai ei ainakaan pitäisi tarkoittaa.
 
Eihän se user mode tarkoita että tavallisena käyttäjänä ajellaan. Tai ei ainakaan pitäisi tarkoittaa.
No joo, ei sentään ihan tavallisena käyttäjänä, mutta tiivistetysti Windowsin ajureilla on tasan kaksi eri tilaa, user mode ja kernel mode. Ensimmäinen tarkoittaa sitä, että prosessilla ei ole pääsyä kuin omaan virtuaaliseen muistiavaruuteensa.

1721497776907.png


 
No joo, ei sentään ihan tavallisena käyttäjänä, mutta tiivistetysti Windowsin ajureilla on tasan kaksi eri tilaa, user mode ja kernel mode. Ensimmäinen tarkoittaa sitä, että prosessilla ei ole pääsyä kuin omaan virtuaaliseen muistiavaruuteensa.

1721497776907.png



Sitä suuremmalla syyllä. Kuulostaa pähkähullulta turvallisuusmallilta että pitäisi päästää suljettu kolmannen osapuolen kötöstys paikkaan missä sillä on pääsy n. kaikkeen.. ja luottaa siihen että se osaa toimia aina oikein eikä härpi asioita jotka eivät sille(kään) kuulu.

Ensimmäinen jo pelkästään tämän kyseisen "turva"tuotteen kohdalla osoittautui epärealistiseksi tavoitteeksi, miksi toinen olisi sen paremmin. Tai miksi se muiden vastaavien kohdalla olisi erilaista.
 
Sitä suuremmalla syyllä. Kuulostaa pähkähullulta turvallisuusmallilta että pitäisi päästää suljettu kolmannen osapuolen kötöstys paikkaan missä sillä on pääsy n. kaikkeen.. ja luottaa siihen että se osaa toimia aina oikein eikä härpi asioita jotka eivät sille(kään) kuulu.

Ensimmäinen jo pelkästään tämän kyseisen "turva"tuotteen kohdalla osoittautui epärealistiseksi tavoitteeksi, miksi toinen olisi sen paremmin. Tai miksi se muiden vastaavien kohdalla olisi erilaista.
Niin, ei sinne kuuluisikaan päästä, mutta kun kaikesta huolimatta osa ison rahan yrityksistä kokee, että näin sen pitää olla, niin siihen on sitten Microsoftikin pitkin hampain taipunut, vaikka samaan aikaan kuinka yritetään opastaa toimimaan toisin (eli käyttämään MS:n omia turvatuotteita, jotka eivät toki ole nekään täysin aukottomia). Ihan mikä tahansa softa tuota mahdollisuutta ei sentään saa, mutta hieman liian helposti kuitenkin, kuten tässä nähtiin.
 
Niin, ei sinne kuuluisikaan päästä, mutta kun kaikesta huolimatta osa ison rahan yrityksistä kokee, että näin sen pitää olla, niin siihen on sitten Microsoftikin pitkin hampain taipunut, vaikka samaan aikaan kuinka yritetään opastaa toimimaan toisin (eli käyttämään MS:n omia turvatuotteita, jotka eivät toki ole nekään täysin aukottomia). Ihan mikä tahansa softa tuota mahdollisuutta ei sentään saa, mutta hieman liian helposti kuitenkin, kuten tässä nähtiin.

En tiedä muista mutta minusta tämä haiskahtaa vahvasti siltä että ihan yleisellä tasolla tietoturva on enemmän bisnesmiesten ja "visionäärien" kuin ammattilaisten käsissä..
 
Niin, ei sinne kuuluisikaan päästä, mutta kun kaikesta huolimatta osa ison rahan yrityksistä kokee, että näin sen pitää olla, niin siihen on sitten Microsoftikin pitkin hampain taipunut, vaikka samaan aikaan kuinka yritetään opastaa toimimaan toisin (eli käyttämään MS:n omia turvatuotteita, jotka eivät toki ole nekään täysin aukottomia). Ihan mikä tahansa softa tuota mahdollisuutta ei sentään saa, mutta hieman liian helposti kuitenkin, kuten tässä nähtiin.
Ihan samat ongelmat ms defender edr:lläkin saisi aikaan. Sitä paitsi ms on itse vielä muita jäljessä tuolla saralla eli heidän oma tuote ei ole heidän itsensä suojaamiseen paras. Ei monella muullakaan osa-alueella.
 
MacOS:ssa kyseiset softat käyttää System Extensions, joka User spacessa.
1721530842815.png

System extensions on macOS allow software like network extensions and endpoint security solutions to extend the functionality of macOS without requiring kernel-level access. DriverKit provides a fully modernized replacement for IOKit to create device drivers. System extensions and drivers built with DriverKit run in user space, where they can’t compromise the security or stability of macOS. Once installed, an extension is available to all users on the system and can perform tasks previously reserved for kernel extensions.

System Extensions ollut jo pitkään käytössä
 

Statistiikka

Viestiketjuista
262 491
Viestejä
4 554 006
Jäsenet
74 993
Uusin jäsen
hollow

Hinta.fi

Back
Ylös Bottom