Tietoturvauutiset ja blogipostaukset

[ztec]

Samoin pankkisovelluksissa on toiminto puhelujen varmentamista varten

Tunnistautumisesta on täällkin pitkä setti, ja juuri noista ongelmista. Siis vaihtoehtoja on vaikka kuinka ja paljon, ja menetelmät on helppoja ja yksinkertaisia, mutta sitten niitä ei haluta käyttää / tukea. Perus.

Suomen Tunnistautumisosuuskunta - sinuna.fi - Vahva tunnistautuminen

Tällainen osuuskunta on muodostettu, jonka pitäisi tuoda uusi vahvan tunnistautumisen tunnistautumisvaihtoehto Suomeen: https://suomentunnistautumisosuuskunta.fi/ Seuraillaan tilannetta miten kehittyy. Kuten olen muissa keskusteluissa todennut, on tunnistautuminen erittäin fragmentoitunutta ja...

bbs.io-tech.fi

Tunnistautuminen on pohjimmiltaan kuitenkin erittäin yksinkertainen asia ja ratkaikstu jo vuosikymmeniä sitten.

 

[Sampsa]

Kannattaa olla varovainen jos pip on asennettu:

Avaa mielellään, mistä kyse pelkän videon tai linkin postaamisen sijaan? Kiitos.

 

[root]

Tuossa yli kyse viidestä tietoja varastavasta python modulista , jotka joku oli laittanut PyPi paketinhallinnan kautta saataville. Kaksi niistä oli nimetty matkimaan tunnettuja python-kirjastoja. En ole nähnyt ilmoituksia että nuo olisi saatu ujutettua mukaan jonkun suositun python kirjaston riippuvuuksiin. Kohteena lienee ollut python-kehittäjät, joiden AWS tunnuksia kalasteltiin. Kuten aina avoimen softan kanssa, kannattaa katsoa mitä kirjastoja asentelee ja käyttää.

Näin harrastelijana jos täytyy joku ihan uusi kirjasto ottaa käyttöön, käyn vähintään PyPissä ja Githubissa katsomassa mitä siitä ja sen tekijöistä löytyy. Onko viimeisin versio julkaistu aivan hiljattain, millaisia viimeiset muutokset ovat ja kuinka paljon on käyttäjiä.

 

[runboy93]

Uusi huijaus ohittaa Gmailin suojaukset ja maksaa uhrilleen 88 €/kk

Sähköpostit ohittavat sähköpostiohjelmien suojaukset, mutta lopussa odottaa tilausansa. Näytämme, miten huijaus etenee.

www.is.fi

SUOMALAISILLE lähetetään parhaillaan huijaussähköposteja, jotka saavuttavat vastaanottajansa erittäin hyvin. Sähköpostit ohittavat muun muassa Gmailin kehittyneet suojaukset ja näyttäytyvät postilaatikossa asiallisten viestien joukossa.

IS Digitoday on saanut runsaasti ilmoituksia ihmisiltä, joka ovat saaneet jopa viisi samankaltaista, mutta hieman eri tavoin muotoiltua viestiä.

Sähköpostissa oleva linkki johtaa verkkosivuille, jotka kalastelevat käyttäjän tietoja ja lopuksi johtavat tämän tilausansaan. Maksukortin tietojen luovuttaminen käynnistää joka toinen viikko tehtävän 44 euron veloituksen.

 

[DaNightlander]

Noita DHL viestejä on tippunut kyllä viime aikoina eräskin, viikon sisään 9 keskeytettyä DHL toimitusta ja mukaan mahtui vielä kasa Express paketteja. Suurin osa jäi gmailin roskapostiansaan, ainostaan pari tuli läpi, eikä nekään kovin uskottavilta näyttäneet otsikoiden perusteella.

 

[jm82]

Uusi huijaus ohittaa Gmailin suojaukset ja maksaa uhrilleen 88 €/kk

Sähköpostit ohittavat sähköpostiohjelmien suojaukset, mutta lopussa odottaa tilausansa. Näytämme, miten huijaus etenee.

www.is.fi

Menin tyhmänä maksamaan 2€ ja nyt sitten oon hetken ilman pankkikorttia, kun piti sulkea koko kortti. Juuri tein jonkun dhl tilauksen ja perään tuli tuo huijaus. No ei auta, onneksi sentään sattui tuo uutinen eteen.

 

[Janman]

Itselle tullut nuita DHL-viestejä pelkästään tämän päivän aikana lähemmäs 20kpl. Juuri eilen noudin paketin DHL:n kautta, ihmetytti että hetikö alkoi mainos/huijausalgoritmit pommittamaan kun ei ole palvelua käyttänyt muutamaan vuoteen mutta näköjään laajempi juttu. Puskevat tosiaan filtteristä läpi suoraan saapuneet-kansioon, vain muutama jäänyt roskapostikansioon. Pelkkä vilkaisu lähettäjän osoitteeseen mallia asd26föbijkwe49nw miukumauku totally90notvirus ja muut sen johdannaiset paljastaa jo että huijaus.

 

[user9999]

Telian ja Nordean nimissä tulee kanssa huijausviestejä.

Telian ja Nordean nimissä leviää nyt ovelia huijauksia – asiantuntija kertoo, mikä viimeistään paljastaa vedätyksen: "Näinhän ei laskutusvirheen kohdalla voi olla"

Ainakin Telian ja Nordean nimissä leviävässä sähköpostissa väitetään, että vastaanottaja on maksanut laskunsa kahdesti. Kyseessä on huijaus.

www.mtvuutiset.fi

 

[leripe]

Aika monta vuotta on Googlen jumaltason roskapostifiltteri toisiaan toiminut itsellä täydellisesti, joten ehkäpä se nyt on sitten kerta se ensimmäinenkin. Jokaisen viestin olen painanut report as spam.

Toki filtterin Google saanut näin toimivaksi olemalla suosituin mailipalvelu ja lukemalla kaikkien viestit.

 

[JiiPee]

Aika monta vuotta on Googlen jumaltason roskapostifiltteri toisiaan toiminut itsellä täydellisesti, joten ehkäpä se nyt on sitten kerta se ensimmäinenkin. Jokaisen viestin olen painanut report as spam.

Toki filtterin Google saanut näin toimivaksi olemalla suosituin mailipalvelu ja lukemalla kaikkien viestit.

Eiköhän käytännössä kaikkialla nykyisin "lueta" kaikkien sähköpostit. Tai jos sellaista palvelua käyttää missä ei lueta, niin spammin määrä on kyllä valtava vähänkin vanhemmilla osoitteilla jotka on vuotanu ties kuinka monessa murrossa.

Itte ajelen omaa mailipalvelinta omalla domainilla, kohta jo 20v täynnä ja palvelimellla joka ikinen maili joka pääsee tietyistä header tarkistuksista läpitte, menee sen jälkeen vielä RSPAMD:n läpitte jossa se "luetaan".

 

[leripe]

Eiköhän käytännössä kaikkialla nykyisin "lueta" kaikkien sähköpostit. Tai jos sellaista palvelua käyttää missä ei lueta, niin spammin määrä on kyllä valtava vähänkin vanhemmilla osoitteilla jotka on vuotanu ties kuinka monessa murrossa.

Itte ajelen omaa mailipalvelinta omalla domainilla, kohta jo 20v täynnä ja palvelimellla joka ikinen maili joka pääsee tietyistä header tarkistuksista läpitte, menee sen jälkeen vielä RSPAMD:n läpitte jossa se "luetaan".

Google tosin lukee viesteistä sisällön ja käyttää mainontaan jne. Kun taas esim. yrityspuolen ratkaisut vain tekevät lukemista spämmin jne suodattamiseen. Hieman eroa tuossa on vaikka molemmissa mailit oikeasti luetaan ja analysoidaan roskan osalta.

 

[Humanoid]

Tuossa yli kyse viidestä tietoja varastavasta python modulista , jotka joku oli laittanut PyPi paketinhallinnan kautta saataville. Kaksi niistä oli nimetty matkimaan tunnettuja python-kirjastoja. En ole nähnyt ilmoituksia että nuo olisi saatu ujutettua mukaan jonkun suositun python kirjaston riippuvuuksiin. Kohteena lienee ollut python-kehittäjät, joiden AWS tunnuksia kalasteltiin. Kuten aina avoimen softan kanssa, kannattaa katsoa mitä kirjastoja asentelee ja käyttää.

Näin harrastelijana jos täytyy joku ihan uusi kirjasto ottaa käyttöön, käyn vähintään PyPissä ja Githubissa katsomassa mitä siitä ja sen tekijöistä löytyy. Onko viimeisin versio julkaistu aivan hiljattain, millaisia viimeiset muutokset ovat ja kuinka paljon on käyttäjiä.

Tätä samaa tapahtuu paljon myös NPM-kirjastojen (JavaScript) kanssa. Kehittäjät kun voivat periaatteessa milloin tahansa muuttaa koodin toimintatapaa, ja päivityksiä ei välttämättä katselmoi kukaan. Siitä ei ole kuin pari kuukautta, kun omaan projektiini tuli pull request jonka build-scriptin yhteyteen joku ulkopuolinen halusi lisätä oman kätevän kirjastonsa pienentämään eri kielten käännösten yhteydessä olevien tiedostojen kokoa. Vaikutti ensin ihan kätevältä ajatukselta, mutta kun tutki kehittäjän taustoja, jäljet johtivat itänaapuriin, kirjastoa ei käyttänyt kukaan muu, ja oli vasta pari päivää sitten laitettu jakoon. Avointa koodiahan se toki oli, mutta se ei vielä takaa mitään. Pull requestin sulkiessa sitten vielä kysyi, no että miksikäs moinen. Tuumasin vain, että ajan näitä skriptoja omalla koneellani.
Melkeinpä esimerkkitapaus siitä mitä olisikaan voinut sattua, jos olisin laittanut tuon kirjaston projektiin mukaan.

 

[ojisama]

Tätä samaa tapahtuu paljon myös NPM-kirjastojen (JavaScript) kanssa. Kehittäjät kun voivat periaatteessa milloin tahansa muuttaa koodin toimintatapaa, ja päivityksiä ei välttämättä katselmoi kukaan. Siitä ei ole kuin pari kuukautta, kun omaan projektiini tuli pull request jonka build-scriptin yhteyteen joku ulkopuolinen halusi lisätä oman kätevän kirjastonsa pienentämään eri kielten käännösten yhteydessä olevien tiedostojen kokoa. Vaikutti ensin ihan kätevältä ajatukselta, mutta kun tutki kehittäjän taustoja, jäljet johtivat itänaapuriin, kirjastoa ei käyttänyt kukaan muu, ja oli vasta pari päivää sitten laitettu jakoon. Avointa koodiahan se toki oli, mutta se ei vielä takaa mitään. Pull requestin sulkiessa sitten vielä kysyi, no että miksikäs moinen. Tuumasin vain, että ajan näitä skriptoja omalla koneellani.
Melkeinpä esimerkkitapaus siitä mitä olisikaan voinut sattua, jos olisin laittanut tuon kirjaston projektiin mukaan.

Itse dependencyt lisäämällä/päivittämällä voisi ajatella yarnin zero-install ajatuksen mitigoivan tuota riskiä. (nopeasti pohdittuna)

Cache strategies | Yarn

How to ensure your installs perform the absolute minimal amount of work.

yarnpkg.com

 

[Humanoid]

Itse dependencyt lisäämällä/päivittämällä voisi ajatella yarnin zero-install ajatuksen mitigoivan tuota riskiä. (nopeasti pohdittuna)

Cache strategies | Yarn

How to ensure your installs perform the absolute minimal amount of work.

yarnpkg.com

Ehkä. Päädyin kuitenkin siihen ratkaisuun, että pidän dependencyt minimissä, ja koitan pärjätä mahdollisimman pitkälle NPM:n omilla kirjastoilla. Nuo käyttämäni scriptat eivät kuitenkaan ole mitään rakettitiedettä

 

[Agent_007]

Facebookin mainonnan analytiikka säilöö käyttäjistä nähtävästi arkaluonteisia tietoja vaikka ne pitäisi poistaa. Ongelma saattaa olla siinä, ettei Facebookin suodatus ymmärrä muita kieliä kuin englanti.

Swedish Radio created fake pharmacy - reveals how Facebook stored sensitive information - Radio Sweden

Facebook say that their system is built to find and delete sensitive information, for example about people's medication, illnesses and sex lives.By creating ...

sverigesradio.se

 

[Humanoid]

Apple tuo puhelimiinsa iOS 16:sta myötä Lockdown Moden jonka tarkoitus on estää kohdennettujen malware-hyökkäyksiä puhelimeen. En tosin pitäisi ihmeellisenä, vaikka moni tietoturvastaan huolta pitävä käyttäjä ottaisi tuon toiminnallisuuden käyttöön joka tapauksessa.
Lockdown Mode estää mm. linkkien esikatselun viesteissä, JIT-JavaScriptin kääntämisen webbiselaimessa, palvelupyynnöt (Facetime etc.) mikäli käyttäjä itse ei ole lähettänyt pyyntöä aikaisemmin, yhteyden USB-piuhan kautta puhelimen ollessa lukossa, sekä konfiguraatioprofiilien asentamisen.

 

[=JP=]

Vähän pidempään siinä meni kuin ennakoivat aikoinaan EUssa, mutta nyt sitten on mennyt läpi säädökset:

The Digital Services Act package

The Digital Services Act and Digital Markets Act aim to create a safer digital space where the fundamental rights of users are protected and to establish a level playing field for businesses.

digital-strategy.ec.europa.eu

DSAsta kirjoittelin melkein kaksi vuotta sitten ja silloin meinasivat saada läpi saman vuotena:

Tietoturvauutiset ja blogipostaukset

En tiedä onko oikea alue, mutta tuli alla oleva viesti. "Applen ID-tunnusta käytettiin iCloudin käyttämiseen selaimesta..." Oletan tuon olevan tietojen kalastelu tarkoitukseen tehty, kuten oli ainakin 2018. En tota avannut, joten tarkempia tietoja en voi antaa. En tiedä erottaako tota enää...

bbs.io-tech.fi

Sekä hyviä että huonoja puolia tuovat nuo, saa nähdä vaan miten meinaavat isot firmat pakottaa noihin ehtoihin. Esimerkiksi käyttäjän pitäisi pystyä poistamaan ostamastaan puhelimesta kaikki bloatware pois niin halutessaan, mikä kuulostaa loistavalta, mutta toteutusta odotellessa...

 

[Leo_Greta]

Vähän pidempään siinä meni kuin ennakoivat aikoinaan EUssa, mutta nyt sitten on mennyt läpi säädökset:

The Digital Services Act package

The Digital Services Act and Digital Markets Act aim to create a safer digital space where the fundamental rights of users are protected and to establish a level playing field for businesses.

digital-strategy.ec.europa.eu

DSAsta kirjoittelin melkein kaksi vuotta sitten ja silloin meinasivat saada läpi saman vuotena:

Tietoturvauutiset ja blogipostaukset

En tiedä onko oikea alue, mutta tuli alla oleva viesti. "Applen ID-tunnusta käytettiin iCloudin käyttämiseen selaimesta..." Oletan tuon olevan tietojen kalastelu tarkoitukseen tehty, kuten oli ainakin 2018. En tota avannut, joten tarkempia tietoja en voi antaa. En tiedä erottaako tota enää...

bbs.io-tech.fi

Sekä hyviä että huonoja puolia tuovat nuo, saa nähdä vaan miten meinaavat isot firmat pakottaa noihin ehtoihin. Esimerkiksi käyttäjän pitäisi pystyä poistamaan ostamastaan puhelimesta kaikki bloatware pois niin halutessaan, mikä kuulostaa loistavalta, mutta toteutusta odotellessa...

Ei pitäis olla mitenkään vaikeaa. Esim. kun Android luurin liittää Microsoftin Intune-hallintaan, niin siinä samalla poistuu, jos ei nyt kaikki, niin kuitenkin suurin osa bloatwaresta. Nyt se sama toiminto pitäisi vaan avata muidenkin kuin yritysten käyttöön.

 

[=JP=]

Oletettavasti vakava tietoturvauhka löytynyt uusista Android luureista, mikä mahdollistaa melkoisia asioita hyökkääjälle...

Pixel 6 and Galaxy S22 affected by major new Linux kernel vulnerability

Fully "pwned" in a demonstration with privilege escalation, root, and SELinux disabled

www.androidpolice.com

the researcher claims that it can enable arbitrary read and write, privilege escalation, and disable SELinux security protections

None of the precise technical details behind how the exploit works have been released, but a video claiming to show the exploit used on a Pixel 6 Pro was able to achieve root and disable SELinux. With tools like that, a malicious actor could achieve a lot of damage.

all phones using v5.10 of the Linux Kernel are affected

 

[Infy]

EU komissio puuhaa Apple-tyylistä lapsipornografiamateriaalin (eng. CSAM) skannausta kaikkiin viestintäsovelluksiin (sähköposti, WhatsApp jne.). Joko palvelun tarjoaja rikkoisi end-to-end salauksen ja skannaisi kaiken viestiliikenteen tai sitten käyttäjien päätelaitteet automaattisesti skannaisivat viestiliikenteen. Jos jotain epäilyttävää löytyy, löydöksestä lähtisi tieto viranomaisille automaattisesti.

CSAM Scanning: EU Commission's lies uncovered.

We have analyzed telecommunication surveillance orders. Data shows that the EU's CSAM scanning is completely disproportionate and must be stopped.

tutanota.com

 

[Algron28]

EU komissio puuhaa Apple-tyylistä lapsipornografiamateriaalin (eng. CSAM) skannausta kaikkiin viestintäsovelluksiin (sähköposti, WhatsApp jne.). Joko palvelun tarjoaja rikkoisi end-to-end salauksen ja skannaisi kaiken viestiliikenteen tai sitten käyttäjien päätelaitteet automaattisesti skannaisivat viestiliikenteen. Jos jotain epäilyttävää löytyy, materiaali välitettäisiin viranomaisille.

CSAM Scanning: EU Commission's lies uncovered.

We have analyzed telecommunication surveillance orders. Data shows that the EU's CSAM scanning is completely disproportionate and must be stopped.

tutanota.com

Jotenkin voisi luulla että sähköposti ja WhatsApp tai vastaavat pikaviestimet eivät ole niitä alustoja joilla tuo kama pääasiassa liikkuu. Toki, olisihan tuo kätevä kiusantekoon, tarpeeksi anonyymistä sähköpostia vaan lapoa lähettämään kusipäiden sähköposteihin niin saa viranomaiset ihmetellä sitten niiden iloksi hommaa. Oikeastaan, olisi kätevä jekku jos joku ymppäisi tähän jokun kätevän haittaohjelman joka lähettäisi saastuneen käyttäjän kontakteille kyseistä kamaa ja saastuttaisi puolestaan taas ne jne.

 

[TenderBeef]

Lapohan on aina tekosyy numero yksi kasvattaa valvontayhteiskuntaa lisää kun 99%:lta ihmisistä katoa täysin järkiperäinen ajattelu kun tunnereaktiot ovat niin rajuja. Pienin askelin pitkällä ajanjaksolla ja ihmiset eivät ymmärrä mitä on tapahtumassa. Suomessakin jo kerätään kaikilta sormenjälkiä kovalla tahdilla. Milloin alkaa julkinen tunnustelu ihmisten vastustuskyvyttömyydestä torpata kamerat jokaiseen kotiin? Ennemmin tai myöhemmin se tulee tapetille jos nykymeno jatkuu. Ja näitä asioita tuodaan uudestaan ja uudestaan esille kunnes ne menevät lopulta läpi vastusteluista. Orwell oli optimisti jne. jne. Kauhean näköistä mihin ihmisten touhu on menossa.

 

[Algron28]

Tuossa "AI seuloo" ratkaisussa on tosiaan monta ongelmaa mm. se alammeko (yhteiskunta, viranomaiset) luottamaan likaa jonkun kolmannen tahon kehittämään ohjelman jonka toimintatavasta tai logiikasta emme tiedä mitään. Lisäksi näissä uhkana on se että kun järjestelmä on kerran luotu, kynnys sen ottaminen käyttöön muissakin asioissa madaltuu. Ei liene kovin vaikeaa vaihtaa lapon sijaan sinne haetuksi materiaaliksi esimerkiksi ääriajattelu, terrorismi tai valeinformaatio. Kaikkihan toki vastustavat näitä kolmea, mutta se mikä tekee asiasta hankalan on niiden termien määrittely ja rajaus, kuten nyt olemme huomanneet erään euraasialaisen valtion kanssa asiasta neuvotellessa.

 

[Grazer]

AFRY-verkkosivusto on korvannut Vahanen.com -sivuston

AFRY-verkkosivusto on korvannut Vahanen.com -sivuston

vahanen.com

Vahanen joutunut kyberhyökkäyksen kohteeksi ja ilmeisesti kryptattu tietoja kerta eivät pääse käsiksi. Vaikuttaa ilmeisen vakavalta, ainakin sillä perusteella että vetoavat KSE:hen jos projektit viivästyvät.

 

[Desgorr]

AFRY-verkkosivusto on korvannut Vahanen.com -sivuston

AFRY-verkkosivusto on korvannut Vahanen.com -sivuston

vahanen.com

Vahanen joutunut kyberhyökkäyksen kohteeksi ja ilmeisesti kryptattu tietoja kerta eivät pääse käsiksi. Vaikuttaa ilmeisen vakavalta, ainakin sillä perusteella että vetoavat KSE:hen jos projektit viivästyvät.

Toivon mukaan on ainakin backupit kunnossa

 

[user9999]

Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues

Email security issues with SPF & DMARC Adoption | CanIPhish

Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues.

caniphish.com

Ei kyllä hyvältä näytä

58% of Australian domains have some form of security issue with their SPF and DMARC configuration, with 542 domains mistakingly allowing any IP address on the planet to send SPF authenticated emails masquarading as their domain.

Alla olevasta linkistä voi tarkistaa esim. oman domainin tilanteen.

CanIBeSpoofed: The Free Email Spoofing Tool

CanIBeSpoofed is a free tool that analyzes SPF and DMARC records to discover email spoofing vulnerabilities.

caniphish.com

Spoileri: Oma domain

 

[escalibur]

Lenovon Notebook-sarjan BIOS/UEFI:sta on löytynyt kolme eri haavoittuvuutta:

Lenovo Notebook BIOS Vulnerabilities - Lenovo Support SK

support.lenovo.com

3 UEFI Firmware flaws found in tens of Lenovo Notebook models

IT giant Lenovo released security fixes to address three vulnerabilities that impact the UEFI firmware shipped with over 70 product models.

securityaffairs.co

 

[Leo_Greta]

Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues

Email security issues with SPF & DMARC Adoption | CanIPhish

Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues.

caniphish.com

Ei kyllä hyvältä näytä

58% of Australian domains have some form of security issue with their SPF and DMARC configuration, with 542 domains mistakingly allowing any IP address on the planet to send SPF authenticated emails masquarading as their domain.

Alla olevasta linkistä voi tarkistaa esim. oman domainin tilanteen.

CanIBeSpoofed: The Free Email Spoofing Tool

CanIBeSpoofed is a free tool that analyzes SPF and DMARC records to discover email spoofing vulnerabilities.

caniphish.com

Spoileri: Oma domain

Itellä oli ongelmana "sp=none". Oli helppo korjata kun se vaati vaan muutoksen "sp=none > sp=reject". Ei oo näköjään ihan hallussa toi mailin turvaaminen, vaikka silloin kun noi DMARCin, SPF:n ja DKIM:in asettelin toimintaan, niin omasta mielestä asetin ne mahdollisimman turvaaliseksi, niin toi oli sp-tägi oli pielessä... Joten kiitos tuosta linkistä!

 

[user9999]

Noista sähköpostin SPF, DKIM ja DMARC jutuista jos ne ei ole kaikille ihan tuttuja. Googlella on hyvät kuvaukset.

• SPF: Specifies the servers and domains that are authorized to send email on behalf of your organization.
• DKIM: Adds a digital signature to every outgoing message, which lets receiving servers verify the message actually came from your organization.
• DMARC: Lets you tell receiving servers what to do with outgoing messages from your organization that don’t pass SPF or DKIM.

Help prevent spoofing and spam with SPF - Google Workspace Admin Help

As a network administrator for your work or school, you can create a Sender Policy Framework (SPF) record to identify mail servers and domains that are allowed to send email on behalf of your dom

support.google.com

 

[Desgorr]

SPF on omassa pannussa käytössä, mutta jos nyt sattuisin lisäämään DKIM ja DMARC:n niin onko tuosta jotain haittaa?

 

[leripe]

Jos kaikki laittaisivat omat spf recordit kuntoon hardfaililla ja siitä tulisi ns standardi, niin spämmin ja muun paskan määrä vähenisi huomattavasti. Mutta niin moni juuri ja juuri pääsee ehkä spf softfailiin, kun ei jakseta säätää firman eri tahojen (erityisesti markkinoinnin) kanssa, jotka tykkää lähettää ulkopuolisten toimesta firman nimissä maileja maailmalle.

 

[Special Once]

Jos kaikki laittaisivat omat spf recordit kuntoon hardfaililla

Tämä ois kyllä optimi. Toivottavasti jossain vaiheessa päästään globaalisti pakotettuun hardfailiin.

 

[Humanoid]

Tutkijat ovat löytäneet keinon saada selville selaimen käyttäjän mahdollisten some-identifikaatioiden perusteella:

A New Attack Can Unmask Anonymous Users on Any Major Browser

Researchers have found a way to use the web's basic functions to identify who visits a site—without the user detecting the hack.

www.wired.com

When you visit a website, the page can capture your IP address, but this doesn’t necessarily give the site owner enough information to individually identify you. Instead, the hack analyzes subtle features of a potential target’s browser activity to determine whether they are logged into an account for an array of services, from YouTube and Dropbox to Twitter, Facebook, TikTok, and more. Plus the attacks work against every major browser, including the anonymity-focused Tor Browser.

Artikkelissa linkattu PDF sisältää useita eri keinoja saada selville käyttäjän identiteetti. Osa mahdollisista hyökkäyskeinoista voitaisiin estää antamalla selainlaajennuksille lupa muokata HTTP-kutsujen header-tietoja - joka on jo nyt mahdollista, mutta esim. Google on poistamassa sen mahdollisuuden selaimistaan:

Browser vendors should also allow browser extensions to modify request headers. The defense we presented works by carefully processing the header fields of the requests sent out by the browser – inspecting fields in the request headers, comparing two responses to search for privacy leaks, and ultimately changing or removing fields – removing cookie headers from requests and set-cookie headers from responses. All of these stateful processing steps are made possible by an extension API named webRequestBlocking, which allows extensions to intercept, block, or modify requests in-flight. Unfortunately, Google has announced that this API is being phased out. Firefox did not currently announce plans to remove support for webRequestBlocking, and the Safari extension API does not support it at all.

 

[mikajh]

Shodan.io account membership tänään $5 ilman kryptopelleilyä

 

[Kilkenblad]

Shodan.io account membership tänään $5 ilman kryptopelleilyä

Shodan?
Kryptopelleily?
Miten liittyy tietoturvauutisiin?

Ois kiva jos näitä linkkejä hieman selitettäisiin auki.

 

[Desgorr]

Shodan?
Kryptopelleily?
Miten liittyy tietoturvauutisiin?

Ois kiva jos näitä linkkejä hieman selitettäisiin auki.

Tässä varmaan ajateltu, että kyseessä on itsestäänselvyys kun tuo on aika defacto työkalu (hakukone) tietoturvapuolella. Toki pitäisi muistaa ettei tätä ketjua lue aina tietoturva-ammattilaiset, eli olisihan nuo hyvä selittää auki.

Mutta Wikipedista valmis hyvä tiivistelmä: "Shodan is a search engine that lets users search for various types of servers (webcams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are metadata that the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server. "

 

[ojisama]

Tässä varmaan ajateltu, että kyseessä on itsestäänselvyys kun tuo on aika defacto työkalu (hakukone) tietoturvapuolella. Toki pitäisi muistaa ettei tätä ketjua lue aina tietoturva-ammattilaiset, eli olisihan nuo hyvä selittää auki.

Mutta Wikipedista valmis hyvä tiivistelmä: "Shodan is a search engine that lets users search for various types of servers (webcams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are metadata that the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server. "

Jäsenyyteen sisältyy myös jotain pientä monitorointia, voi antaa vaikka muutaman ip:n ja vastaanottaa sähköpostiin alertteja jos löytää uusia palveluja (vastaavia portteja). Skannaustiheys on luokkaa todella hidas. (YMMV) Yhdestä palvelusta, joka pyörinyt yli vuoden tuli ilmoitus n. kuukauden päästä lisäämisestä.

 

[=JP=]

Tuossa Shodan palvelussa on useampi taso ja tuolla 5$ saa membership, joka tosiaan ei anna kaikkien parhainta palvelua, mutta avaa kuitenkin todella paljon ominaisuuksia niistä kiinnostuneille.

Tuolla on noita eroja listattu:

Shodan Account

account.shodan.io

 

[Humanoid]

Facebook on muuttanut URL:ien muotoaan sen jälkeen, ku mm. Firefox ja Brave alkoivat estää seurantakoodien lisäämisen osoitteiden loppuun:

Facebook has started to encrypt links to counter privacy-improving URL Stripping - gHacks Tech News

Facebook has started to use a different URL scheme for site links to combat URL stripping technologies that browsers use to improve privacy and prevent user tracking.

www.ghacks.net

Tuon kiertämisen estämisen on tehty hankalaksi sillä käyttäjän identifioiva seurantakoodi on sisällytetty urliin itseensä. Joten toistaiseksi ainut keino estää tämä on olla avaamatta Facebookin linkkejä, kunnes reverse-engineeraus on tehnyt tehtävänsä. Luultavasti tuo enkoodaus on sen verran simppeli, että seurantakoodi on mahdollista poistaa sen seasta.

EDIT: Ja mitä tuota itse pyörittelin hetken, niin vaikuttaa siltä, että Facebook enkoodaa/kryptaa tuon URL:in palvelimensa puolella. Joten kun URL:in uusi pääte sisältää myös käyttäjän tunnisteen, tuon enkoodauksen/hashin purkaminen voi olla hieman haastavaa.

 

[Agent_007]

Google on lisännyt Androidiin DNS-over-HTTP/3 -tuen. Tuki tulee käyttäjille Google Play -päivityksenä. Toimii Android 11 -laitteilla ja uudemmilla (ja nähtävästi myös joillain Android 10 -laitteilla).

DNS-over-HTTP/3 in Android

Posted by Matthew Maurer and Mike Yu, Android team To help keep Android users’ DNS queries private, Android supports encrypted DNS. I...

security.googleblog.com

 

[ztec]

Skannaustiheys on luokkaa todella hidas. (YMMV) Yhdestä palvelusta, joka pyörinyt yli vuoden tuli ilmoitus n. kuukauden päästä lisäämisestä.

Juuri tästä syystä jos asia vähänkin kiinnostaa, kannattaa pistää oma infra pystyyn, halpaa ja helppoa. Olennaiset scannit kaksi kertaa päivässä + custom protokollat ja exploit monitoroinnit jne. Kaikkea sellaista mitä Shodani ei tarjoa. Ilmoitukset suoraan Pikaviestimeen, tärkeimpien asioiden monitorointi 5 minuutin intervallilla jne.

 

[Agent_007]

Tulevasta iOS:n Lockdown Modesta on joku julkaissut testiä. WebGL ei ole tuettu, Javascript-suorituskyky notkahtaa selvästi ja selaimessa tietyt kuvaformaatit lakkaavat toimimasta, mutta lisää tietoturvaa haluavat ottavat tuon kyllä varmasti pysyvään käyttöön

Analyzing iOS 16 Lockdown Mode: Browser Features and Performance

Another year, another Apple iOS/iPadOS/MacOS release, right? But shortly before the iOS 16 betas dropped, Apple made an interesting announcement.

www.sevarg.net

 

[ztec]

Uskomatonta, Windows vihdoinkin blokkaa jatkuvat etätyöpöytä verkkohyökäykset automaattisesti:

Windows 11 now blocks RDP brute-force attacks by default

Recent Windows 11 builds now come with the Account Lockout Policy policy enabled by default which will automatically lock user accounts (including Administrator accounts) after 10 failed sign-in attempts for 10 minutes.

www.bleepingcomputer.com

Eihän tätä olekaan odotettu kuin yli 10 vuotta, että osaisivat tehdä asialle jotain.

 

[Desgorr]

Uskomatonta, Windows vihdoinkin blokkaa jatkuvat etätyöpöytä verkkohyökäykset automaattisesti:

Windows 11 now blocks RDP brute-force attacks by default

Recent Windows 11 builds now come with the Account Lockout Policy policy enabled by default which will automatically lock user accounts (including Administrator accounts) after 10 failed sign-in attempts for 10 minutes.

www.bleepingcomputer.com

Eihän tätä olekkaan odotettu kuin yli 10 vuotta, että osaisivat tehdä asialle jotain.

Kieltämättä hyvä uudistus
Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.

 

[user9999]

Tulevasta iOS:n Lockdown Modesta on joku julkaissut testiä. WebGL ei ole tuettu, Javascript-suorituskyky notkahtaa selvästi ja selaimessa tietyt kuvaformaatit lakkaavat toimimasta, mutta lisää tietoturvaa haluavat ottavat tuon kyllä varmasti pysyvään käyttöön

Analyzing iOS 16 Lockdown Mode: Browser Features and Performance

Another year, another Apple iOS/iPadOS/MacOS release, right? But shortly before the iOS 16 betas dropped, Apple made an interesting announcement.

www.sevarg.net

Tuohan ei toimi pelkästään iOS ja iPadOS laitteissa. Tuki on myös macOS Venturassa. Laitoin virtuaaliin testiin.

Spoileri: macOS Ventura

 

[ztec]

Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.

Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.

 

[=JP=]

Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.

Esim. näitä on juurikin "hauska" skannailla/hakea tuolla Shodanilla ja Suomessakin on noita todella paljon auki...

 

[Desgorr]

Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.

No itse nyt lähinnä ajattelin, että ensin VPN:llä yhteys ja sitten sisäverkosta vasta RDP:llä kiinni. Tulee kuitenkin yksi turvakerros lisää. Toki jos haluaa näppärästi päästä ulkoverkosta etähallitsemaan koneita, niin TeamViewer on myös yksi kohtuu turvallinen vaihtoehto.
Mutta eiköhän niitä aukkoja löydy protokollasta kuin protokollasta. Toisista vain helpommin. Tietoturvakin on loppupeleissä sitä, että tehdään vaan hyökkääjälle hommasta niin vaikeaa että ei kannata edes yrittää.

Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.

 

[ztec]

Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.

BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.

Btw. Mikko Hyppönen - 2022 - The Best Worst Thing @ YouTube

 

[Desgorr]

BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.

NLA:sta tulikin mieleen tämä. Eli ennen sitä aikaa: The Online Ordering System
Tuo järjestelmä on todellakin odottanut vain korkkaamista.

Taitaa RDP:ssä olla nykyään suurin ongelma huonot salasanat ja tunnukset (RDP oikeuksin) joista ei välttämättä olla aina edes tietoisia.