Tietoturvauutiset ja blogipostaukset

[=JP=]

Kyllä vaan tuon informaation leviäminen kaikkialle vain koko ajan pahenee, vaikka kuinka yrittäisi taistella vastaan. Kyllä sitä jonkin verran saa rajattua omilla toimillaan, mutta se myöskin lisää vaivannäköä, kuluttaa jonkin verran aikaa ja harvoissa tapauksissa saattaa hankaloittaa erittäin paljon asioita...

 

[Hyrava]

Kyllä vaan tuon informaation leviäminen kaikkialle vain koko ajan pahenee, vaikka kuinka yrittäisi taistella vastaan. Kyllä sitä jonkin verran saa rajattua omilla toimillaan, mutta se myöskin lisää vaivannäköä, kuluttaa jonkin verran aikaa ja harvoissa tapauksissa saattaa hankaloittaa erittäin paljon asioita...

Juu, noihin pitäisi kyllä määrätä joku laki joka pakottaisi nuo jollain tavalla opt-in eikä opt-out, alkaa vähän joka puolelta tuota dataa leviämään ja vaikka minne nykypäivänä. Ja kun ei edes itse oikein pysty mistään helposti selvittämään mistä kaikkialta omia tietoja jaellaan ja minne kaikkialle. Tässä viimeisen parin vuoden aikana on kyllä tullut kiellettyä sen verran monesta paikasta tietojen luovutus ja rajattu niiden käyttötarkoituksia etten ole enää laskuissa pysynyt perässä. Samoin on tullut poisteltua vanhoja käyttäjätilejä monista turhista palveluista mutta niistä tuskin tiedot katoavat vaikka käyttäjätunnus poistuisikin...

 

[Bogey]

Tuo on vähän semmoinen "suo siellä, vetelä täällä" -tyyppinen asia. Jos päivitykset ei asennu automaattisesti, on riski että jää joku kriittinenkin haavoittuvuus laitteeseen, kuten esim. Asuksen kanssa olisi käynyt tänä kesänä. Harvalla riittää into tai energia seuraamaan jatkuvasti haavoittuvuuksien ilmaantumista.

Nearly 150,000 ASUS routers potentially exposed to critical vulnerability

Researchers said the CVE, which has a CVSS score of 9.8, raises additional concerns about the security of edge, small office and home office devices.

www.cybersecuritydive.com

Tästä myös Kyberturvallisuuskeskus tiedottanut, huomattu että Asus reitittimiä on suomessa käytetty ddos hyökkäyksiin.

Kyberturvallisuuskeskuksen viikkokatsaus - 43/2024 | Kyberturvallisuuskeskus

Tällä viikolla kerromme palvelunestohyökkäyksistä sekä ilmiöstä, jossa yrityksiltä on udeltu eri tahojen avoimia laskuja ja todennäköisimmin valmisteltu laskutuspetoksia. Muina aiheina ovat Kaikki liikkeessä ja Cyber Security Nordic -tapahtumat sekä yli 300:lle yritykselle myönnetty tietoturvan...

www.kyberturvallisuuskeskus.fi

Viranomainen julkaisi listan: Onko sinulla joku näistä reitittimistä? Toimi näin

Suomalaisia laitteita osallistui historialliseen hyökkäykseen.

www.is.fi

Viranomainen varoittaa: Varo tätä pahaa virhettä asentaessasi reitittimen

Jos reititin on väärin kytketty, suojauksista ei ole mitään apua.

www.is.fi

Onkohan tämä haavoittuvuus käytettävissä ulkoverkosta päin? Vai niin että on tosiaan kytketty väärin LAN porttiin?

 

[Rollerix]

Tästä myös Kyberturvallisuuskeskus tiedottanut, huomattu että Asus reitittimiä on suomessa käytetty ddos hyökkäyksiin.

Kyberturvallisuuskeskuksen viikkokatsaus - 43/2024 | Kyberturvallisuuskeskus

Tällä viikolla kerromme palvelunestohyökkäyksistä sekä ilmiöstä, jossa yrityksiltä on udeltu eri tahojen avoimia laskuja ja todennäköisimmin valmisteltu laskutuspetoksia. Muina aiheina ovat Kaikki liikkeessä ja Cyber Security Nordic -tapahtumat sekä yli 300:lle yritykselle myönnetty tietoturvan...

www.kyberturvallisuuskeskus.fi

Viranomainen julkaisi listan: Onko sinulla joku näistä reitittimistä? Toimi näin

Suomalaisia laitteita osallistui historialliseen hyökkäykseen.

www.is.fi

Viranomainen varoittaa: Varo tätä pahaa virhettä asentaessasi reitittimen

Jos reititin on väärin kytketty, suojauksista ei ole mitään apua.

www.is.fi

Onkohan tämä haavoittuvuus käytettävissä ulkoverkosta päin? Vai niin että on tosiaan kytketty väärin LAN porttiin?

Ei ainakaan noissa alkuperäisissä uutisissa (alla + sen linkit) puhuta mitään että ongelma olisi vain jos piuhat pielessä...

June 20: Improper Authentication Vulnerability in ASUS Routers

censys.com

 

[Bogey]

Ei ainakaan noissa alkuperäisissä uutisissa (alla + sen linkit) puhuta mitään että ongelma olisi vain jos piuhat pielessä...

June 20: Improper Authentication Vulnerability in ASUS Routers

censys.com

Mikähän palvelu siellä sitten julkiverkkoon päin on auki, että voi tehdä authentication bypassin?

 

[Aikoja]

DNA:n tarjoama Cisco-merkkinen kaapelimodeemi pistetty siltaavaksi. Onko sillä väliä mistä portista reititin kytketään?

 

[Kautium]

Mikähän palvelu siellä sitten julkiverkkoon päin on auki, että voi tehdä authentication bypassin?

Ei tuota reikää ilman julkiverkkoon auki olevaa etähallintaa voi hyödyntää. Tai toisena vaihtoehtona ilman virheellistä kytkentää.

 

[SamCer]

DNA:n tarjoama Cisco-merkkinen kaapelimodeemi pistetty siltaavaksi. Onko sillä väliä mistä portista reititin kytketään?

Ei ole väliä.

 

[erekola]

Kenelle lähetän viestin Suomi.fi kun en löydä Findataa? Olen täyttänyt tuon vastustamisoikeus lomakkeen.

 

[Hyrava]

Kenelle lähetän viestin Suomi.fi kun en löydä Findataa? Olen täyttänyt tuon vastustamisoikeus lomakkeen.

Oikeudet tietoihisi

Miten voin kieltää tietojeni toissijaisen käytön? Kielto tehdään täyttämällä lomake ja lähettämällä se suomi.fi -palvelussa vahvasti tunnistautuneena.

findata.fi

Tuolta löytyy ohjeet kuinka lähetät viestin.

 

[erekola]

Oikeudet tietoihisi

Miten voin kieltää tietojeni toissijaisen käytön? Kielto tehdään täyttämällä lomake ja lähettämällä se suomi.fi -palvelussa vahvasti tunnistautuneena.

findata.fi

Tuolta löytyy ohjeet kuinka lähetät viestin.

Kiitos!

edit. Onnistui! Lueskelin ketjua ja järkytyin mitä kaikkea tietoa tuonne oli kerätty ja miten sitä voitaisiin käyttää.

 

[escalibur]

Microsoftin mukaan kiinalaiset hyökkääjät hyödyntävät TP-Linkin reitittimiä salasanavarkausten yhteydessä. Tarkoituksena on haalia pääsyjä kriittisiin ympäristöihin, kuten pilvien hallintaportaalit yms.

Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network | Microsoft Security Blog

Since August 2023, Microsoft has observed intrusion activity targeting and successfully stealing credentials from multiple Microsoft customers that is enabled by highly evasive password spray attacks. Microsoft has linked the source of these password spray attacks to a network of compromised...

www.microsoft.com

What is CovertNetwork-1658?

Microsoft tracks a network of compromised small office and home office (SOHO) routers as CovertNetwork-1658. SOHO routers manufactured by TP-Link make up most of this network.

 

[tarmo2011]

PfSense Stored XSS Vulnerability Leads To RCE Attacks, PoC Published

A critical security vulnerability has been discovered in pfSense version 2.5.2, potentially allowing attackers to execute arbitrary code on affected systems.

cybersecuritynews.com

 

[escalibur]

PfSense Stored XSS Vulnerability Leads To RCE Attacks, PoC Published

A critical security vulnerability has been discovered in pfSense version 2.5.2, potentially allowing attackers to execute arbitrary code on affected systems.

cybersecuritynews.com

1. Älä paljasta palomuurin hallintasivostoa julkiselle internetille
2. Pidä ohjelmiston ajan tasalla. (Artikkelissa puhutaan versiosta 2.5.2 ja uusin on 2.7.2.)

 

[PlanB]

En nyt löytänyt sopivampaakaan keskustelua, mutta tietoturvaan jotenkin taitaa tämäkin liittyä. Kävin Samsungin sivuilla chatissa kyselemässä kahden tuotteen eroja ihan random-asiakaspalvelijalta, ja siinä aikamme höpistyämme tultiin siihen tulokseen että parempi kysyä teknisestä tuesta. Sieltä sitten hetken päästä Mohammed tervehti minua omalla nimelläni, ja sen jälkeen käytiinkin aika paljon keskustelua mistä nimeni olivat saaneet. En siis ollut kirjautuneena Samsung-tililleni, eikä nimeäni oltu kysytty missään kohtaa aikaisemmin.

Tämmöisen vastauksen sitten lopulta sain:

Kysymys kuuluukin, että onko tämä nyt ihan luvallista toimintaa? Jossain julkisella koneella olisi minun tietoni muistissa jos joskus sattuisin Samsung-tililleni kirjautumaan? Sitten vielä lopuksi lähettivät minulle koko keskustelun sähköpostiin, eli jostain olivat kaikki tietoni kaivaneet?

 

[TenderBeef]

Se, että kirjautuu ulos palveluista ei ole riittävää, sivustot porautuvat monilla eri tavoilla selaimeen kiinni (cookies, local storage, session storage, indexedDB), jättäen kaikenlaisia tietoja jälkeen joilla he tunnistavat sinut.

 

[ojisama]

Se, että kirjautuu ulos palveluista ei ole riittävää, sivustot porautuvat monilla eri tavoilla selaimeen kiinni (cookies, local storage, session storage, indexedDB), jättäen kaikenlaisia tietoja jälkeen joilla he tunnistavat sinut.

Nykyään monesti, mutta ei toki aina, eksplisiittisesti ulos kirjautuminen poistaa tunnisteet (yllä ei ainakaan suoraan mainittu, että olisi tehty), mutta pelkkä sivuston sulkeminen tekee ainakin summittaisen oletuksen, että seuraavalla vierailulla on luultavasti sama käyttäjä, ja varsinaista kirjautumista kysytään vasta tilausvaiheessa / tilitietoja tarvittaessa.

 

[Aikoja]

Se, että kirjautuu ulos palveluista ei ole riittävää, sivustot porautuvat monilla eri tavoilla selaimeen kiinni (cookies, local storage, session storage, indexedDB), jättäen kaikenlaisia tietoja jälkeen joilla he tunnistavat sinut.

Riittääkö. Siis jos puhutaan vain yhdestä koneesta/selaimesta esim. incognitona oleminen. Poistamaan nuo kaikki?

 

[ravallo]

Riittääkö. Siis jos puhutaan vain yhdestä koneesta/selaimesta esim. incognitona oleminen. Poistamaan nuo kaikki?

Juu.

Sitten voi olla vielä jotain hähmäisempiä tunnistuskeinoja, IP, locale, selaimen versio etc. tiedot, mutta noilla ei kyllä päästä millekään luotettavalle henkilötasolle.

 

[ojisama]

Riittääkö. Siis jos puhutaan vain yhdestä koneesta/selaimesta esim. incognitona oleminen. Poistamaan nuo kaikki?

Riittää. Ja esim. Clear (recent) history toimii myös, ja voi myös halutessaan valikoida mitä poistaa. Cookies ja site datan tuossa ollessa oleellisin, mutta yksilöintiin (teoriassa / osin käytännössä, jos vaikka linkki täydentyy historiasta s.e. sisältää yksilöivän tunnisteen) voi käyttää myös noita muita.

Juu.

Sitten voi olla vielä jotain hähmäisempiä tunnistuskeinoja, IP, locale, selaimen versio etc. tiedot, mutta noilla ei kyllä päästä millekään luotettavalle henkilötasolle.

Tämä on aika hauska: My Fingerprint- Am I Unique ?

 

[PlanB]

Nykyään monesti, mutta ei toki aina, eksplisiittisesti ulos kirjautuminen poistaa tunnisteet (yllä ei ainakaan suoraan mainittu, että olisi tehty), mutta pelkkä sivuston sulkeminen tekee ainakin summittaisen oletuksen, että seuraavalla vierailulla on luultavasti sama käyttäjä, ja varsinaista kirjautumista kysytään vasta tilausvaiheessa / tilitietoja tarvittaessa.

En varmaankaan ole suoranaisesti kirjautunut ulos, vaan pelkästään sulkenut sivuston. Joka tapauksessa siitä on varmasti useita kuukausia kun olen sinne viimeksi ollut kirjautuneena. Testin vuoksi painoin "Kirjaudu sisään" -nappia, ja siinä tosiaan oli valmiina minun sähköpostiosoitteeni, mutta "Muista tunnus" -valinta ei ollut aktiivisena. Incognito modessa ei sisäänkirjautuessa tullut mitään valmista sähköpostiosoitetta.

 

[ravallo]

En varmaankaan ole suoranaisesti kirjautunut ulos, vaan pelkästään sulkenut sivuston. Joka tapauksessa siitä on varmasti useita kuukausia kun olen sinne viimeksi ollut kirjautuneena. Testin vuoksi painoin "Kirjaudu sisään" -nappia, ja siinä tosiaan oli valmiina minun sähköpostiosoitteeni, mutta "Muista tunnus" -valinta ei ollut aktiivisena. Incognito modessa ei sisäänkirjautuessa tullut mitään valmista sähköpostiosoitetta.

Siellähän voi olla erikseen se sessionin keksi, joka heitetään roskiin tai invalidoidaan uloskirjauksessa (tai timeoutissa) ja joku sitkeämpi tracking cookie, jolla sut voi kyllä tunnistaa, mutta jolla et pääse sinne kirjautumisen taakse.

 

[TenderBeef]

mutta pelkkä sivuston sulkeminen tekee ainakin summittaisen oletuksen, että seuraavalla vierailulla on luultavasti sama käyttäjä

Nyt en kyllä tajua mitä tässä ajat takaa, avaatko vähän enemmän?

Joka tapauksessa siitä on varmasti useita kuukausia kun olen sinne viimeksi ollut kirjautuneena.

Tällä ei ole mitään väliä, selaimessa tiedot voi pysyä käytännössä rajattomasti. Esim. tämä sivusto on tallentanut jotain keksejä joiden olemassaolo päättyy vasta vuoden päästä. Jos haluat pelotella itseäsi, niin avaa selaimesta "developer tools" ja mene "Application" välilehdelle ja katso esim. mitä "local storage":ssa on tietoja tallessa. Siellä on esim. "fr-copied-html" (tai "fr-copied-text") jossa näkyy mitä olet tällä sivustolla viimeksi kopioinut leikepöydälle. Se on ihan mahdotonta mitä dataa selaimet/sivustot voivat seurata/"tallentaa".

 

[PlanB]

Nyt en kyllä tajua mitä tässä ajat takaa, avaatko vähän enemmän?


Tällä ei ole mitään väliä, selaimessa tiedot voi pysyä käytännössä rajattomasti. Esim. tämä sivusto on tallentanut jotain keksejä joiden olemassaolo päättyy vasta vuoden päästä. Jos haluat pelotella itseäsi, niin avaa selaimesta "developer tools" ja mene "Application" välilehdelle ja katso esim. mitä "local storage":ssa on tietoja tallessa. Siellä on esim. "fr-copied-html" (tai "fr-copied-text") jossa näkyy mitä olet tällä sivustolla viimeksi kopioinut leikepöydälle. Se on ihan mahdotonta mitä dataa selaimet/sivustot voivat seurata/"tallentaa".

Sain sieltä lopuksi linkin heidän evästekäytäntöihinsä Samsung Evästekäytäntö | Samsung Suomi
Siellä mainitaan että evästeitä käytetään 13kk.

 

[ojisama]

Nyt en kyllä tajua mitä tässä ajat takaa, avaatko vähän enemmän?

Tuossa alla jokseenkin auki tulkittuna. Tunnettuina toimijoina mm. Amazon mielestäni näyttää 'osta uudestaan', jos ei ole erikseen kirjautunut ulos, mutta vaikka historian tutkiminen kysyy salasanaa, jos varsinaisesta kirjautumisesta on hetki. Tässä voi olla vaihtelua maittain.

En varmaankaan ole suoranaisesti kirjautunut ulos, vaan pelkästään sulkenut sivuston. Joka tapauksessa siitä on varmasti useita kuukausia kun olen sinne viimeksi ollut kirjautuneena. Testin vuoksi painoin "Kirjaudu sisään" -nappia, ja siinä tosiaan oli valmiina minun sähköpostiosoitteeni, mutta "Muista tunnus" -valinta ei ollut aktiivisena. Incognito modessa ei sisäänkirjautuessa tullut mitään valmista sähköpostiosoitetta.

 

[TenderBeef]

Mutta ei ne sivustot tee mitään "summittaisia oletuksia" kuka käyttäjä on. Joko ne tietää kuka olet tai ei.

EDIT: Se, että sivusto näyttää tunnistavan sinut mutta pyytää kirjautumista jossain tilanteessa, se on vain turvallisuus ominaisuus.

 

[ravallo]

Tällä ei ole mitään väliä, selaimessa tiedot voi pysyä käytännössä rajattomasti. Esim. tämä sivusto on tallentanut jotain keksejä joiden olemassaolo päättyy vasta vuoden päästä. Jos haluat pelotella itseäsi, niin avaa selaimesta "developer tools" ja mene "Application" välilehdelle ja katso esim. mitä "local storage":ssa on tietoja tallessa. Siellä on esim. "fr-copied-html" (tai "fr-copied-text") jossa näkyy mitä olet tällä sivustolla viimeksi kopioinut leikepöydälle. Se on ihan mahdotonta mitä dataa selaimet/sivustot voivat seurata/"tallentaa".

Niin ja tietenkin lisäksi vielä monet tahot jakavat noita tietoja partnereidensa kanssa, nykyään siitä taitaa EU alueella tosin joutua pyytämään erikseen luvan. Local storagehan on aika hasardi kehittäjän näkökulmasta, kun et voi koskaan luottaa siihen että dataa siellä ei ole hävitetty tai peukaloitu, ja siksi kai sitä käytetään pääasiassa tuollaiseen käyttöliittymäkikkailuun, mutta sitten taas omiin tietokantoihinsahan nuo voivat tallentaa ties mitä, ja hävittävät sitä jos hävittävät, omien käytäntöjensä mukaan.

Sain sieltä lopuksi linkin heidän evästekäytäntöihinsä Samsung Evästekäytäntö | Samsung Suomi
Siellä mainitaan että evästeitä käytetään 13kk.

Ne evästeethän sä voit heittää roskiin koska vaan vaikka niiden expiry olis mitä.

 

[ravallo]

Mutta ei ne sivustot tee mitään "summittaisia oletuksia" kuka käyttäjä on. Joko ne tietää kuka olet tai ei.

Ei tuossa tarkoituksessa, mutta esm. mainosten kohdistuksessa, ja varsinkin siinä että ne pyrkii keräämään tietoa (mainosmyyntiä varten) millaiselle demografialle ja paljonko jotain mainosta on näytetty, ne ainakin yrittää. Nykyisin se on tosin aika hankalaa, koska ainakin Firefox näyttäis blokkaavan some-evästeiden luvun 3. osapuolilta ihan defaulttina. Mutta niiden kanssa voisi käydä esm. niin, että kun ensin seikkailet netissä kirjautuneena sinne sun tänne ja keräät selaimen täyteen keksejä, ja sitten loggaat pihalle ja dellaat keksit, niin joku mainostaja voi hyvinkin vetää 1+1 siitä että aha, sama IP, sama selain, sama locale yms, todennäköisesti sama dude vaikka evästeet ei natsaakaan, näytetäänpä sille ne adsit mitä sen profiiliin kuuluu.

 

[TenderBeef]

Joo, tuo on asia erikseen, noi mainoshommathan on ihan oma erillinen maailmansa, ja niissähän ei ole tarpeellista tunnistaa 100%:sti kenestä on kyse, niitä mainoksia voi tuutata aina tiedoista huolimatta, mutta tarkkuus tuo paremmat tuotot.

 

[Alfh]

Miten pysyä parhaiten kartalla itselle relevanteista kriittisistä haavoittuvuuksista? Selailen joskus kyberturvallisuuskeskuksen ja cisa.gov:n sivuja, mutta liian harvakseltaan, kun ei kiinnostaisi lukea pitkää listaa joistain Palo Alton tai Windows Serverin CVE:istä.

Eli onko olemassa palvelua, joka laittaisi esim. sähköpostiin hälyytyksen, että nyt olisi hyvä päivittää kiireesti esim. Apache/nginx tai Firefox uusimpaan versioon?

Vai olisiko parempi vain ajastaa servereihin ja laitteisiin autoupdatet ja boottaukset joka yöksi ja toivoa parasta..

 

[user9999]

Miten pysyä parhaiten kartalla itselle relevanteista kriittisistä haavoittuvuuksista? Selailen joskus kyberturvallisuuskeskuksen ja cisa.gov:n sivuja, mutta liian harvakseltaan, kun ei kiinnostaisi lukea pitkää listaa joistain Palo Alton tai Windows Serverin CVE:istä.

Eli onko olemassa palvelua, joka laittaisi esim. sähköpostiin hälyytyksen, että nyt olisi hyvä päivittää kiireesti esim. Apache/nginx tai Firefox uusimpaan versioon?

Vai olisiko parempi vain ajastaa servereihin ja laitteisiin autoupdatet ja boottaukset joka yöksi ja toivoa parasta..

Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.

Tilaa uutiskirjeitä | Kyberturvallisuuskeskus

Voit tilata laatimamme varoitukset ja haavoittuvuuskoosteet liittymällä CERT-FI-ALERT-sähköpostilistalle. Tilaa samalla tietoturva-aiheinen uutiskoosteemme.

www.kyberturvallisuuskeskus.fi

 

[sm81]

Onko MacOS haavoittuvuuksista jotain omaa sivustoa joka julkaisee haavoittovuuksia vai miten sen kanssa pysyy ajantasalla?

 

[mvkorpel]

Onko MacOS haavoittuvuuksista jotain omaa sivustoa joka julkaisee haavoittovuuksia vai miten sen kanssa pysyy ajantasalla?

Ainakin CERT-FI-ALERT käsittelee haavoittuvuuksia järjestelmästä riippumatta, eli MacOS-asiaakin on mukana, sekä juttua myös sulautettujen järjestelmien aukoista yms.

Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.

Tilaa uutiskirjeitä | Kyberturvallisuuskeskus

Voit tilata laatimamme varoitukset ja haavoittuvuuskoosteet liittymällä CERT-FI-ALERT-sähköpostilistalle. Tilaa samalla tietoturva-aiheinen uutiskoosteemme.

www.kyberturvallisuuskeskus.fi

 

[Alfh]

Itsellä tulee CERT-FI-ALERT ja NCSC-FI-UUTISKOOSTE jutut sähköpostiin. Aamuisin klo. 5:00 nuo tulee ja ei ole hirveän pitkiä listoja.

Tilaa uutiskirjeitä | Kyberturvallisuuskeskus

Voit tilata laatimamme varoitukset ja haavoittuvuuskoosteet liittymällä CERT-FI-ALERT-sähköpostilistalle. Tilaa samalla tietoturva-aiheinen uutiskoosteemme.

www.kyberturvallisuuskeskus.fi

Virittelin Thunderbirdiin RSS-feedit käyttöön niin tuleepa sitäkin kokeiltua.

Spoileri: RSS-linkit

CERT-FI-ALERT:

https://www.kyberturvallisuuskeskus.fi/sites/default/files/rss/vulns.xml

Debian Security Advisories, jonka feedi näyttäisi koostuvan linkeistä.

https://www.debian.org/security/dsa

Latest High and Critical Severity CVE Feed, CVEFeed.io

https://cvefeed.io/rssfeed/severity/high.xml

 

[Pah0lain3]

Tänään huomasin kun kahta peliä yritin pelata pleikkari 5:lla niin jos ei ole selaimia mistä kerätä tietoa niin sitten laitteet itse oma-aloitteisesti huutelevat ehkä kiinaan. Aloin Pi-holesta seuraamaan paria osoitetta ja mm. edgekey88.net oli yksi osoite minne pleikkari yritti melko aktiivisesti huudella käynnisteltäessä pelejä. Mielenkiinnosta halusin hakukoneella kokeilla mitä löytyy whois edgekey88.net haulla ja päädyin whois.com sivulle. Tulos "Alibaba Cloud Computing Ltd. d/b/a HiChina (), state: shang hai" Mutta koska Pi-hole estää kyseiset osoitteet, niin pelit ei suostu edes toimimaan kun en pääse kirjautumaan.

Tietenkään näistä ei ole todellista ymmärrystä että miksi laite huutaa kiinaan peliä käynnistäessä tai voihan se olla jonkinlainen reititinmato tms. Tai onko edes kiinan osoite lopulta, ei edes välttämättä ole. Pi-holessa aina huomaa kun jotain "muutoksia" tapahtuu kun palvelut ei starttaakkaan enää niin joku yleinen osoite muuttunu mitä useampi palvelu käyttää. Nyt tällä kertaa kävi niin että Ps5:lla fortnite sekä CoD Warzone lopetti toiminnan. Vielä viikko sitten Warzoneen pääsi sisälle. Mutta en nyt ihan ensimmäisenä epäilisi mitään myrkytettyä pleikkaria.

Eiköhän tällekkin joku ihan järkevä selitys vielä löydy. Kummastuttaa vain jos tuo on oikeasti joku kiinalainen osoite minne ps5 yrittää kommunikoida, niin eikö GDPR pitäny lopettaa tälläset? Tai olen ymmärtäny väärin pahasti taas kaikki. Jollain Fortnitelläkin on niin paljon pelaajia euroopassa että luulis että turhat huutelut haluttais lopettaa EU:n ulkopuolelle? Vai kierretäänkö näitä GDPR asetuksia useilla erilaisilla "alidomaineilla" jotta ei tarvitse EU:ssa säilöä dataa vaan voidaan siirtää se minne halutaan?

 

[user9999]

Onko MacOS haavoittuvuuksista jotain omaa sivustoa joka julkaisee haavoittovuuksia vai miten sen kanssa pysyy ajantasalla?

Apple security releases - Apple Support

This document lists security updates and Rapid Security Responses for Apple software.

support.apple.com

Tuo on Applen oma eli päivittyy kun päivitykset julkaistu.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja korjauspäivitykset tai uudet versiot ovat yleisesti saatavilla.

Security-announce -- Product security notifications and announcements from Apple

Security-announce Info Page

 

[ravallo]

Tänään huomasin kun kahta peliä yritin pelata pleikkari 5:lla niin jos ei ole selaimia mistä kerätä tietoa niin sitten laitteet itse oma-aloitteisesti huutelevat ehkä kiinaan. Aloin Pi-holesta seuraamaan paria osoitetta ja mm. edgekey88.net oli yksi osoite minne pleikkari yritti melko aktiivisesti huudella käynnisteltäessä pelejä. Mielenkiinnosta halusin hakukoneella kokeilla mitä löytyy whois edgekey88.net haulla ja päädyin whois.com sivulle. Tulos "Alibaba Cloud Computing Ltd. d/b/a HiChina (), state: shang hai" Mutta koska Pi-hole estää kyseiset osoitteet, niin pelit ei suostu edes toimimaan kun en pääse kirjautumaan.

Tietenkään näistä ei ole todellista ymmärrystä että miksi laite huutaa kiinaan peliä käynnistäessä tai voihan se olla jonkinlainen reititinmato tms. Tai onko edes kiinan osoite lopulta, ei edes välttämättä ole. Pi-holessa aina huomaa kun jotain "muutoksia" tapahtuu kun palvelut ei starttaakkaan enää niin joku yleinen osoite muuttunu mitä useampi palvelu käyttää. Nyt tällä kertaa kävi niin että Ps5:lla fortnite sekä CoD Warzone lopetti toiminnan. Vielä viikko sitten Warzoneen pääsi sisälle. Mutta en nyt ihan ensimmäisenä epäilisi mitään myrkytettyä pleikkaria.

Eiköhän tällekkin joku ihan järkevä selitys vielä löydy. Kummastuttaa vain jos tuo on oikeasti joku kiinalainen osoite minne ps5 yrittää kommunikoida, niin eikö GDPR pitäny lopettaa tälläset? Tai olen ymmärtäny väärin pahasti taas kaikki. Jollain Fortnitelläkin on niin paljon pelaajia euroopassa että luulis että turhat huutelut haluttais lopettaa EU:n ulkopuolelle? Vai kierretäänkö näitä GDPR asetuksia useilla erilaisilla "alidomaineilla" jotta ei tarvitse EU:ssa säilöä dataa vaan voidaan siirtää se minne halutaan?

Hmm, tuo taitaa olla ihan vaan osa tuota Playstation Networkin infraa, ja tuon ko. palvelimen minne tuo ohjaa on osa Alibaban cloudia mistä Pleikkari varmaan tuota kapasiteettia ostaa. Olis tietty kiva tietää mihin tarkoitukseen tuota tarkkaan ottaen käytetään, mutta johonkin noiden pelien verkko(peli)ominaisuuksien pyörittämiseen se tavalla tai toisella liittyy.

GDPR taas liittyy henkilötietojen säilömiseen, eikä tuo kommunikointi edgekey -osoitteen kanssa sitä välttämättä tarkoita - jos se (kuten voisin veikata) on esm. palvelin, jossa verrataan sitä sun pleikkarissa pyörivän warzonen hashia siellä palvelimella olevaan hashiin ja katsotaan että peli on alkuperäinen ja muokkaamaton, tai sitten sieltä tarkastetaan jotain sun pelitiliin liittyviä statuksia tms. Varsinaisen pelitilin omistajaan (sinuun) liittyvät tiedot on sitten jossain muulla palvelimella, toivottavasti EU:ssa.

 

[pulatunnus]

En nyt löytänyt sopivampaakaan keskustelua, mutta tietoturvaan jotenkin taitaa tämäkin liittyä. Kävin Samsungin sivuilla chatissa kyselemässä kahden tuotteen eroja ihan random-asiakaspalvelijalta, ja siinä aikamme höpistyämme tultiin siihen tulokseen että parempi kysyä teknisestä tuesta. Sieltä sitten hetken päästä Mohammed tervehti minua omalla nimelläni, ja sen jälkeen käytiinkin aika paljon keskustelua mistä nimeni olivat saaneet. En siis ollut kirjautuneena Samsung-tililleni, eikä nimeäni oltu kysytty missään kohtaa aikaisemmin.

Tämmöisen vastauksen sitten lopulta sain:

Kysymys kuuluukin, että onko tämä nyt ihan luvallista toimintaa? Jossain julkisella koneella olisi minun tietoni muistissa jos joskus sattuisin Samsung-tililleni kirjautumaan? Sitten vielä lopuksi lähettivät minulle koko keskustelun sähköpostiin, eli jostain olivat kaikki tietoni kaivaneet?

Tässä kai oleellista mitä sopimuksia olet tehnyt, no senkin jälkeen minkä maan lainsäädäntöä noudatetaan, onko ne sen maan mukaan päteviä tuolta osin.

Sitä voi arvailla mitä oikeasti tapahtunut, mutta jos mennään tarinan mukaan.

- Sättäät selaimella jolla joku, (tässä tapauksessa sinä) aiemmin kirjautunut Samsungin tilille, ja sieltä ei ole kirjauduttu ulos.
- Laitteena joku random laite, ehkä PC, ehkä puhelin, ehkä TV, ehkä laite (Samsung) jolla laitteena kirjauduttu Samsungin tilille

Eli tässä ei ehkä ihmeellistä se että tuenpuolelle on yhteyteen käytetty laite linkittynyt Samsungin tilin tietoihin. en tarkoita että oikein, voi olla tai ei.


Maalikkona tässä ehkä nyt isoin juttu on se että kertomasi mukaan sinua ei mitenkään kohtuudella tunnistettu ja Samsungilla on sinun henkilötietoja luovutettu tuntemattomalla, joka sattumalta , onneksi , olit sinä.

Jos nyt Suomi, EU Samsungin kanssa yhteydessä olit, niin GDPR tietojen pyyntö. kaikki. Ja jos et vielä merkannutmuistiin että koska tämän nimesi kertominen tapahtu, yms, kuvasta päätellen ilmeisesti ollet tallettanut tapahtumasta ainakin osan.

Jos nyt olet ollut kirjautuneena Samsungin tilille, "jäänyt ovi auki" , niin ehkä ei tuossa synny mitään isoa, toivottavasti kuitekin tarkennusta yhtiön prosesseihin. Moni laite on kuitekin yhteiskäytössä, esim perheen, muiden lähestein kanssa, varsinkin jos ei puhelimesta kyse.

Edit3

Oliko tervehyksessä käytetty sinun nimi, koko nimi, ja onko sitä käytetty tunnuksessa, yms. eli sitä että onko se suku etunimi nimenomaan tilin suku etunimi kenstästä vai voisiko olla muualta.

 

[Pah0lain3]

Hmm, tuo taitaa olla ihan vaan osa tuota Playstation Networkin infraa, ja tuon ko. palvelimen minne tuo ohjaa on osa Alibaban cloudia mistä Pleikkari varmaan tuota kapasiteettia ostaa. Olis tietty kiva tietää mihin tarkoitukseen tuota tarkkaan ottaen käytetään, mutta johonkin noiden pelien verkko(peli)ominaisuuksien pyörittämiseen se tavalla tai toisella liittyy.

GDPR taas liittyy henkilötietojen säilömiseen, eikä tuo kommunikointi edgekey -osoitteen kanssa sitä välttämättä tarkoita - jos se (kuten voisin veikata) on esm. palvelin, jossa verrataan sitä sun pleikkarissa pyörivän warzonen hashia siellä palvelimella olevaan hashiin ja katsotaan että peli on alkuperäinen ja muokkaamaton, tai sitten sieltä tarkastetaan jotain sun pelitiliin liittyviä statuksia tms. Varsinaisen pelitilin omistajaan (sinuun) liittyvät tiedot on sitten jossain muulla palvelimella, toivottavasti EU:ssa.

Joo sen täytyy olla jotenkin noin kuten sanoit. Pelit jäivät jumiin todennäköisesti kun verkkoyhteyden tarkistus tai accountin tarkistus ei sujunu toivotulla tavalla.
Fortniten jollain tapaa ymmärrän tuonne kiinanpäähän soittelun kun eikö Epic ole osittain ainakin kiinalaisomistuksessa? Sitten taas Microsoftin ostaman CoD peliä en ihan yhtä hyvin ymmärrä miksi toimisivat samoin tavoin. Toki näistä domaineista/yrityksistä ei pysy kärryillä enää millään. Mutta kyllä nuo pelit varmaan starttaisivat normaalisti mikäli tämän edgekey osoitteen whitelistaisin, eikä siinä tosiaan taida olla ainuttakaan syytä pitää sitä blacklistallakaan.

 

[ravallo]

Fortniten jollain tapaa ymmärrän tuonne kiinanpäähän soittelun kun eikö Epic ole osittain ainakin kiinalaisomistuksessa? Sitten taas Microsoftin ostaman CoD peliä en ihan yhtä hyvin ymmärrä miksi toimisivat

Tuskinpa siinä on mitään sen kummallisempaa taustalla kuin että servut on irronnut Babalta halvemmalla kuin MS:ltä tai Amazonilta. Ja voi olla että muutaman kuukauden kuluttua tilanne on eri toi osoittaa jollekin toiselle pilvipalvelun tarjoajalle.

 

[ztec]

Tämä ei ole uutinen, eikä blogi postaus. Mutta erittäin kattava pläjäys suomeksi tietoturvasta, joten suosittelen lämpimästi:

Toisaalta, tässä ei kyllä pitäisi olla mitään uutta alan foliohattu-ammattilaisille.

Lisätty vielä kuva, jos jollain on suora videorööri blokattuna:

 

[escalibur]

Mielenkiintoinen artikkeli tavasta hyödyntää virustrojunnan omaa virtuaaliajuria Windowsin saastuttamiseksi. Tarkoitus on siis kopioida alkuperäisen ajuritiedoston ja sen kautta manipuloida Windowsin tietoturvaasetuksia yms. Kyse ei kuitenkaan ole konseptista, vaan ihan jo käytetystä hyökkaystekniikasta.

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/

Vaikeuttaaksenne tälläisten kikkailujen toimintaa, kannattaa varmistaa että teillä on haavoittuvien ajureiden estolista päällä Windowsissa. Tämä asetus ei tietenkään estä ihan jokaista kikkaa, mutta haavoittuneen ajurin joutuessa Microsoftin ylläpitamalle estolistalle, tulee se automaattisesti olemaan teilläkin estettynä.

Tulevassa videossani näytän muutamia asetuksia Windowsin tietoturvan parantamiseksi ja kohdistettujen hyökkäyksien hankaloittamiseksi.

 

[ztec]

Hyvä kirjoitus YLE:llä EU:sta ja salauksesta.

Jännä nähdä miten tässä käy: Viestisovellus Signal ei aio taipua EU:n vaatimuksiin sisältöjen seulomisesta

Tosin tuohan ei ole mitään uutta. Olen loputtomasti toistanut sitä, että moni palvelu mainostaa ja väittää, että niillä ei ole pääsyä käyttäjän viesteihin, vaikka ne vastaavat sekä salaamisesta, tiedonsiirrosta ja tiedonsäilytyksestä. Joka tietysti on valhe, niillä on aina halutessaan pääsy viesteihin, koska ne vastaavat myös salaamisesta.

Tämän takia on jo ihan lähtökohtaisesti tärkeää, että salaus hoidetaan erikseen. Jolloin sillä ei ole "mitään" merkitystä, jos tiedonsiirrossa tai säiltyksessä on takaportti. Olkoon, saavat sieltä vain salattuja tietoja. Eli silloin se salaus toteutuu ihan oikeasti, eikä vain markkinointihenkilöiden puheissa.

-----BEGIN PGP MESSAGE-----

jA0ECQMKRXA4m7egRkn/0kAB8mGmM+dq/5r4ebZc7L+oMoJYhiHTJeoSZxOtF+ij
ZaPGPas2yUqtSadU8erxreyeLPapfporDed1iwVNQ3zw
=37Ao
-----END PGP MESSAGE-----

Nyt meillä on salattu foorumi.

 

[Desgorr]

Etelä-Korealainen satelliittivastaanottimien valmistaja on lisännyt asiakasfirman pyynnöstä vastaanottimiinsa haittatoimintoja. Tässä tapauksessa DDoS:n mahdollistavaa koodia. Nähtävästi osaan vastaanottimista toiminnallisuus lisättiin myöhemmin firmware-päivityksellä.
Motiiviksi tuosta artikkelista löytyi vain tämä: "Allegedly, the functionality was needed to counter the attacks of a competing entity."

Harvemmin näkee Etelä-Korealaisilta yrityksiltä tällaista toimintaa.

Korea arrests CEO for adding DDoS feature to satellite receivers

South Korean police have arrested a CEO and five employees for manufacturing over 240,000 satellite receivers pre-loaded or later updated to include DDoS attack functionality at a purchaser's request.

www.bleepingcomputer.com

 

[Barbarossa]

Harvemmin näkee Etelä-Korealaisilta yrityksiltä tällaista toimintaa.

Totta. Yleensä ovat taitavampia kätkemään jekkunsa.

 

[jarhu]

Totta. Yleensä ovat taitavampia kätkemään jekkunsa.

Kovin on ollut hiljaista senkin jälkeen kun Samsung jäi kiinni vakoilusta. Ei ketään kiinnostanut, että yritys vakoilee asiakkaitaan keräämällä screen capturea näytöistä internetin yli.

 

[ojisama]

Kovin on ollut hiljaista senkin jälkeen kun Samsung jäi kiinni vakoilusta. Ei ketään kiinnostanut, että yritys vakoilee asiakkaitaan keräämällä screen capturea näytöistä internetin yli.

Siihen voi vaikuttaa se, ettei siinä vakoiltu screen capturella näytöistä internetin yli.

Ei niin, että tuokaan mitä tekivät olisi erityisen miellyttävää. Ja tulikin tarkistettua ettei 'ominaisuus' ollut päällä.

 

[tarmo2011]

OpenWrt Sysupgrade flaw let hackers push malicious firmware images

A flaw in OpenWrt's Attended Sysupgrade feature used to build custom, on-demand firmware images could have allowed for the distribution of malicious firmware packages.

www.bleepingcomputer.com

Tiivistelmä:
Haavoittuvuus: OpenWrt:n Attended Sysupgrade -ominaisuudessa havaittiin kriittinen haavoittuvuus (CVE-2024-54143), joka mahdollisti haitallisten laiteohjelmistopakettien jakelun.
Korjaus: Haavoittuvuus korjattiin nopeasti, ja käyttäjiä kehotetaan tarkistamaan asennetut laiteohjelmistot.
Hyökkäysmenetelmä: Hyökkääjät voivat hyödyntää komentojen injektiota ja hash-trunkkausta myrkyttääkseen laiteohjelmistot.
Suositukset: Käyttäjiä kehotetaan päivittämään laiteohjelmistonsa varmuuden vuoksi, vaikka ei ole todisteita siitä, että haavoittuvuutta olisi hyödynnetty.

 

[oongee]

OpenWrt Sysupgrade flaw let hackers push malicious firmware images

A flaw in OpenWrt's Attended Sysupgrade feature used to build custom, on-demand firmware images could have allowed for the distribution of malicious firmware packages.

www.bleepingcomputer.com

Tiivistelmä:
Haavoittuvuus: OpenWrt:n Attended Sysupgrade -ominaisuudessa havaittiin kriittinen haavoittuvuus (CVE-2024-54143), joka mahdollisti haitallisten laiteohjelmistopakettien jakelun.
Korjaus: Haavoittuvuus korjattiin nopeasti, ja käyttäjiä kehotetaan tarkistamaan asennetut laiteohjelmistot.
Hyökkäysmenetelmä: Hyökkääjät voivat hyödyntää komentojen injektiota ja hash-trunkkausta myrkyttääkseen laiteohjelmistot.
Suositukset: Käyttäjiä kehotetaan päivittämään laiteohjelmistonsa varmuuden vuoksi, vaikka ei ole todisteita siitä, että haavoittuvuutta olisi hyödynnetty.

Kannattaa nyt huomata, että tuo oli haavoittuvuus OpenWrt-projektin build-palvelimessa, eikä jakelussa olleissa yleisissä OpenWrt-imageissa ole havaittu ongelmia. Normaalin OpenWrt-käyttäjän kannalta asia on käytännössä täysin merkityksetön.

 

[escalibur]

Microsoftin Recall muuttuu yhä hurjemmaksi työkaluksi. Ilmeisesti yksityisyysasetuksilla ei ole mitään väliä ja kaikki asiat indeksoidaan tekoälyn vuoksi. Saa nähdä kauanko tämä voi enää pahentua tästä, ennen kuin aletaan hipoamaan jo laittomuutta.

I also created my own HTML page with a web form that said, explicitly, “enter your credit card number below.” The form had fields for Credit card type, number, CVC and expiration date. I thought this might trigger Recall to block it, but the software captured an image of my form filled out, complete with the credit card data.

Microsoft Recall screenshots credit cards and Social Security numbers, even with the "sensitive information" filter enabled

Despite promising to filter personal data out, Recall still captures it.

www.tomshardware.com

Jos ette koe tarvitsevanne koko ominaisuutta, sitä voi ainakin toistaiseksi yrittää poistaa mm. seuraavilla ohjeilla: https://www.elevenforum.com/t/uninstall-or-reinstall-recall-in-windows-11.28049/