Tietoturvauutiset ja blogipostaukset

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja oselotti, 17.07.2017.

  1. Ormu

    Ormu Tukijäsen

    Viestejä:
    781
    Rekisteröitynyt:
    17.10.2016
    En ole varsinaisesti tämän alan ammattilainen, mutta tämä haiskahti huonolta ohjelmointikäytännöltä. Ja nähtävästi en ollutkaan ihan väärässä.

    Fix message encoding bug · Bitmessage/PyBitmessage@3a8016d · GitHub

    Erityisen luottamukselliseen viestintään mainostetussa sovelluksessa on siis kohta, jossa ei-luotetusta lähteestä tulevaa syötettä suoritetaan koodina. Kaikkea sitä näkee.

    Kommenteista:

     
    Viimeksi muokattu: 16.02.2018
  2. Ormu

    Ormu Tukijäsen

    Viestejä:
    781
    Rekisteröitynyt:
    17.10.2016
  3. Tege

    Tege

    Viestejä:
    1 350
    Rekisteröitynyt:
    16.10.2016
  4. dragon age

    dragon age

    Viestejä:
    439
    Rekisteröitynyt:
    18.10.2016
  5. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
  6. runboy93

    runboy93

    Viestejä:
    741
    Rekisteröitynyt:
    01.08.2017
    Viimeksi muokattu: 25.02.2018
  7. Tege

    Tege

    Viestejä:
    1 350
    Rekisteröitynyt:
    16.10.2016
  8. Tege

    Tege

    Viestejä:
    1 350
    Rekisteröitynyt:
    16.10.2016
  9. Pertti Kosunen

    Pertti Kosunen Basic Input/Output System

    Viestejä:
    2 663
    Rekisteröitynyt:
    19.10.2016
    Koko järjestelmä on susi, kun tälläisiä idiootteja voi olla mukana.

     
    Ormu tykkää tästä.
  10. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
    runboy93 tykkää tästä.
  11. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
  12. Ormu

    Ormu Tukijäsen

    Viestejä:
    781
    Rekisteröitynyt:
    17.10.2016
    Vanha ongelma on noussut taas pinnalle:

    Look-Alike Domains and Visual Confusion — Krebs on Security

    Eli Unicode-merkistössä on useita samannäköisiä kirjaimia, joita käyttäen voidaan luoda hämääviä nettiosoitteita.

    Tässä herää kysymys, miksi näin. Onko teknisesti helpompaa, että esimerkiksi kyrilinen s-kirjain ("c") on eri merkki kuin latinalainen c-kirjain? Vai onko merkistö haluttu pitää selkeämmässä järjestyksessä niin, että jokainen aakkosto on kokonaisena osiona merkistössä?
     
  13. Mestaritonttu

    Mestaritonttu

    Viestejä:
    1 323
    Rekisteröitynyt:
    21.10.2016
    Aikaisemmin on saanut olla tarkkana satunnaisia osoitteita kirjoittaessa, koska aina on mahdollisuus että yleisen typon sisältävä url viekin malware- sivustolle. "Typo-squatting" taisi olla nimitys.
     
  14. Tege

    Tege

    Viestejä:
    1 350
    Rekisteröitynyt:
    16.10.2016
  15. FireExit

    FireExit

    Viestejä:
    523
    Rekisteröitynyt:
    08.11.2016
  16. runboy93

    runboy93

    Viestejä:
    741
    Rekisteröitynyt:
    01.08.2017
  17. Lagittaja

    Lagittaja

    Viestejä:
    1 249
    Rekisteröitynyt:
    05.11.2016
    Viimeksi muokattu: 14.03.2018
  18. oselotti

    oselotti

    Viestejä:
    296
    Rekisteröitynyt:
    02.11.2016
    Tuo 3kk herrasmiessäännön rikkominen on aika likainen temppu kieltämättä ja saa epäilemään paljastuksen motiiveja. Tuossa on joku "paperi", mutta ei ole tosiaan mikään tieteellinen artikkeli, vaan näyttää enemmän joltain "mainokselta". Paperin informaatioarvo lähentelee nollaa:
    https://safefirmware.com/amdflaws_whitepaper.pdf

    Enpä sitä kiellä etteikö nuo väitteet voisi olla totta, mutta menettelytavat on olleet aika omituisia tässä tapauksessa. Saa nähdä milloin tulee kunnollinen artikkeli pihalle.
     
  19. Lagittaja

    Lagittaja

    Viestejä:
    1 249
    Rekisteröitynyt:
    05.11.2016
    En minäkään kiellä sitä etteikö nämä väitteet voisi olla täysin totta. Mutta kuten sanoit niin menettelytavat ynnä muu ja sitten tämä ajankohta vähän haiskahtaa..
    24 tunnin varoitusaika AMD:lle mutta ehkä brieffattu lehdistöä ennen kuin asiasta ilmoitettu AMD:lle, hinkataan sivustoa valmiiksi muutama viikko etukäteen ja tehdään hienoja grafiikoita että on oikein valmisteltu tätä ilmoitusta että on oikein hienon näköistä. (E: Niin ja se PR firman palkkaus, mitvit?)
    Sitten itse tätä puljua en niinkään ole tutkinut mutta mitä kommentteja luin niin kuulostaa vähän kyseenalaiselta koska perustettu jne asiat.
    Ja sitten nämä itse haavoittuvuudet hieman ylihypetettyjä, biossin reflashäystä ja/tai tarvitaan admin oikeuksia ja/tai digitaalisesti allekirjoitettuja ajureita.

    Sinällään huvittavaa/mielenkiintoista että AMD:n osake ei ole reagoinut tähän oikein "mitenkään". No joo on se heitellyt ylös alas päivän mittaan mutta tällä hetkellä kolmisen prosenttia plussalla päivän aloituksesta, osakkeenomistajat ei ole panikoineet tästä?
     
    Viimeksi muokattu: 13.03.2018
    oselotti tykkää tästä.
  20. Nerkoon

    Nerkoon Se ainoa oikea Platinum-jäsen Team AMD

    Viestejä:
    2 837
    Rekisteröitynyt:
    18.10.2016
  21. Tege

    Tege

    Viestejä:
    1 350
    Rekisteröitynyt:
    16.10.2016
  22. =JP=

    =JP=

    Viestejä:
    508
    Rekisteröitynyt:
    20.10.2016
    Tärkein lause taitaa olla:
    All these affected devices were shipped through Tian Pai, a Hangzhou-based mobile phone distributor

    Eli ei kannata ny paniikkia ottaa, jos sattuu omistamaan jonkin noista merkeistä.
     
    runboy93 tykkää tästä.
  23. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
  24. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    3 637
    Rekisteröitynyt:
    17.10.2016
    Jos se kyrilline c ja normaali c olisi tasan sama merkki se vois vaikeuttaa esim. koneellista kielen kääntämistä koska kääntäjän täytyi arpoa että mistä kielestä on kysymys.

    Eli mielestäni on hyvä että on eri merkit eri kielillä silloin kun ne merkit tarkoittaa aivan eri asiaa (s/c), esim. jos ei olisi erimerkkejä Suomessa voisi joutua ä:n sijasta käyttämään ae (ts se merkki jossa on a:n kyjessä e:n viivat) merkkiä.

    Se mitä tarvittaisiin on se että nettiselaimet merkitsisi url:lissa selvästi sellaiset merkin jotka ei kuulu alkuperäiseen ascii url merkistöön.
     
  25. =JP=

    =JP=

    Viestejä:
    508
    Rekisteröitynyt:
    20.10.2016
  26. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
    Koska se on helppo, "kaikki tutut ovat siellä", halpa spämmäysalusta oman bisneksen promoamiseen, sitten vielä Instagram, Tinder jne..? Geneerinen somettaja tuskin välittää yksityisyydestään. (Ennen kuin käy "perinteinen".)
     
  27. leripe

    leripe Piraattikunkku

    Viestejä:
    609
    Rekisteröitynyt:
    19.10.2016
    Eikö se yksityisyyden juna ole mennyt jo kauan aikaa sitten, jos vain käyttää nykyteknologiaa..
    Kuhan käyttää jotain näistä: Apple, Facebook, Google tai Microsoft.
     
  28. tatulpin

    tatulpin

    Viestejä:
    530
    Rekisteröitynyt:
    20.10.2016

    Niin no, ei sillä etteikö tuo numeroiden/viestien keräys olis itestäkin turhaa, mutta itse siihen luvan on antanut.
     
  29. Encrypted

    Encrypted

    Viestejä:
    118
    Rekisteröitynyt:
    22.10.2016
     
  30. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
  31. runboy93

    runboy93

    Viestejä:
    741
    Rekisteröitynyt:
    01.08.2017
    Luulin että oli vain aprillipila?

    Tästä ainakin tulee plussaa:
    Mutta veikkaan kun on noin nopea DNS, niin ei varmaan suojaa haitallisia sivuja vastaan? Ainakaan en löytänyt mitään mikä kertoisi suojauksesta, yksityisyys on kyllä turvattu, mutta ei esimerkiksi samankaltaista suojausta kuin quad9 tarjoaa.

    Tietysti muussa tapauksessa, jos käyttää esimerkiksi Googlen 8.8.8.8 DNS, niin todella suositeltavaa vaihtaa 1.1.1.1 DNS osoitteeseen, kovat lupaukset yksityisyyden suhteen.

    Tässä on uusin testaus tehty, jossa mukana listattuna 1.1.1.1 DNS:
    DNS Resolvers Performance compared: CloudFlare x Google x Quad9 x OpenDNS
     
    Viimeksi muokattu: 03.04.2018
  32. KukkeliQ

    KukkeliQ

    Viestejä:
    20
    Rekisteröitynyt:
    07.07.2017
  33. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    2 033
    Rekisteröitynyt:
    17.10.2016
    Viimeksi muokattu: 05.04.2018
  34. DiZeX

    DiZeX

    Viestejä:
    14
    Rekisteröitynyt:
    19.06.2017
  35. Ormu

    Ormu Tukijäsen

    Viestejä:
    781
    Rekisteröitynyt:
    17.10.2016

    Tähän liittyen uudempi uutinen:

    Omitting the “o” in .com Could Be Costly — Krebs on Security
     
    Mestaritonttu ja lxmo tykkäävät tästä.
  36. IcePen

    IcePen Typo Generaatroti ;-)

    Viestejä:
    3 637
    Rekisteröitynyt:
    17.10.2016
  37. FireExit

    FireExit

    Viestejä:
    523
    Rekisteröitynyt:
    08.11.2016
  38. J45U

    J45U

    Viestejä:
    120
    Rekisteröitynyt:
    20.04.2017
    Tuon verkkopalvelun tekijän olisi hyvä ilmoittautua tai Uusyrityskeskuksen kertoa, että kuka toimittaa.
    Luultavasti järjestelmätoimittajan muut asiakkaat olisivat halukkaita tietämään, jos omissa järjestelmissä on yhtä uskomattomia puutteita.
    Ja onhan tuo nyt yleisesti ottaen pelkkää osaamattomuutta ja välinpitämättömyyttä.
     
  39. Obi-Lan

    Obi-Lan ¯\_(ツ)_/¯

    Viestejä:
    467
    Rekisteröitynyt:
    17.10.2016
    Vai onko eurolla saatu euron toteutus? Kieltämättä menty sieltä missä rima on kaikkein matalin.
     
  40. Jorsetti

    Jorsetti

    Viestejä:
    203
    Rekisteröitynyt:
    07.01.2017
    Minä ainakin pahoitin mieleni tästä tieto"murrosta". Saatanan tunarit. Tänään juuri Tivi:n paperiversiosta luin konsultista, joka joutuu parhaimmillaan/pahimmillaan ryömimään viemäreissä, että pääsee käsiksi tietoihin. Täällä lintukodossa ladotaan salasanat tietokantaan tekstinä. Ei saakeli.
     
  41. FireExit

    FireExit

    Viestejä:
    523
    Rekisteröitynyt:
    08.11.2016
    Oishan tuo mielenkiintoista saada jotain lukuja Suomesta et kuinka yleistä tuo tietojen salaamatta jättäminen on palveluntarjoajien keskuudessa. Mitähän ne ajattelee? Pitääkö toi salaus erikseen vaatia palvelusopparissa, tjms?
     
  42. Jorsetti

    Jorsetti

    Viestejä:
    203
    Rekisteröitynyt:
    07.01.2017
    Joo SLA:han merkintä mikä SHA -taso saavutetaan rahalla x. Halvin vaihtoehto on se Peran ylläpitämä hyrskytin.
     
  43. jarif

    jarif

    Viestejä:
    306
    Rekisteröitynyt:
    01.01.2017
    Sovelluksen salasanojen ylläpito ja suojaus harvon on verkkopalutoimittajan vastuulla. Kyllä ne on siellä asiakkaan omassa sovelluksessa.
     
  44. Griffin

    Griffin

    Viestejä:
    2 139
    Rekisteröitynyt:
    16.10.2016
    Puolitoista vuotta sitten oli eräs sivusto, jonne kun meni, niin se yritti tartuttaa koneelle:
    1. FBI haitakkeen.
    2. Muistaakseni jonkun muun kiristyshaitakkeen.
    3. Jonkun haitakkeen.
    4. Ehkä myös muuta.
    Mainosblokkerin kanssa ongelmaa ei ollut tässäkään tapauksessa.
    Kun sieltä yritti hyökyä joku koneelle (monasti pari erilaista), niin sen jälkeen sieltä ei tullut mitään erikoista ainankaan kuukauteen. Jos halusi uuden hyökkäyksen, niin selaimen täydellisellä nollauksella sen sai aikaan, ainankin muutaman kerran samaan IP:henkin.
    Päivitetylle (win 7 64 bit) koneelle en onnistunut tartuttamaan mitään, kun en vastannut typerästi / hölmöillyt, kun alkoi tapahtumaan outoja.. Kokeilin ihan vartavasten eräällä koneella melko monta kertaa.
    Tietysti selaimen välimuistiin jäi erilaisia tiedostoja, joista voi päätellä, mitä sieltä olisi ollut tulossa. FBI haitake tosin oli erittäin näkyvä ja yritti lukita itsensä siihen päälimmäiseksi, mutta ei onnistunut joko estämään taskmanageria tai alt+F4 yhdistelmää, en muista enää kummalla sen teloin aina pois..
     
  45. J45U

    J45U

    Viestejä:
    120
    Rekisteröitynyt:
    20.04.2017
    Jos wanhat merkit pitävät paikkansa, niin kyseessä voisi olla Aiqu Finland Oy.
     
  46. hkultala

    hkultala

    Viestejä:
    2 841
    Rekisteröitynyt:
    22.10.2016
    T-mobile taitaa olla aika iso puhelinoperaattori, varmaan kymmeniä miljoonia asiakkaita.
    No, tallettavat salasanat selväkielisinä ja vielä näyttävät osan niistä asiakapalveluhenkilökunnalleen.

     
    oselotti tykkää tästä.
  47. apoiuyt

    apoiuyt

    Viestejä:
    168
    Rekisteröitynyt:
    18.01.2017
    Tästä oli YK:n paskamyrsky-triidissä pari lisäviserrystä lisää. Noilla on aika tuuhea meno, ottaen huomioon että noi on tavallaan ict-alalla tai jotain...
     
  48. user9999

    user9999 Platinum-jäsen Premium-jäsen

    Viestejä:
    633
    Rekisteröitynyt:
    17.10.2016
  49. user9999

    user9999 Platinum-jäsen Premium-jäsen

    Viestejä:
    633
    Rekisteröitynyt:
    17.10.2016