Tor-Browserille tulee jos pitää JavaScriptin päällä näköjään. Estettynä tulee no:ta. Oletus toki on, että on sallittuna ja sillä on merkitystä.Ja pikaisella testauksella tuli heti hylsyä tuon suhteen. Ei kyllä yllätä, niin tulee Tor-browserillakin. Kumpikaan ei siis oikeasti aja asiaansa.
Muistanko oikein, et Tor-browserin ikkunan kokoa ei saanu säätää, jos halus pitää tuon fingerpritin sellasena, että sitä ei voi yksilöidä?
Voi olla, ainakin mulla se aukeaa aina näköjään 1000x985-kokoisena.
Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.
Viewportin koko on yksi tunnistusperuste, joskin oletettavasti harvemmin itsenään uniikki.
Se voi olla hyvinkin uniikki. Esim. fonttikoko, fontti, jne kaikki vaikuttaa siihen. Millaiset tool barit on käytössä tms. Eli joo, ei välttämättä sinänsä uniikki, mutta silti kuitenkin "hyvin harvinainen", eli tyyliin alle 1% todennäköisyys. Itseasiassa, paljon pahempi kuin tuo mun heittämä arvaus 1%.
| Screen width | 0.11% | 3072 |
| Screen height | 0.10% | 1728 |
mobiili.fi
www.reuters.com
Lueskelin hieman tuota, peli taitaa olla menetetty.Am I Unique ?
Check if your browser has a unique fingerprint, how identifiable you are on the Internetwww.amiunique.org
Edit, lisätään vielä toinenkin klassikko:
Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin.
The Hitchhiker’s Guide to Online Anonymity
Ei ole valitettavasti vitsi. Jo vuonna 2015 uutisoitiin, että silmän skannaus onnistuu 12 metrin päästä ja tuosta on kohta 10 vuotta, joten voisi olettaa, että nykyjään se onnistuu vielä reilusti kaueampaa paikoissa joissa em. laitteet on asennettu. Mikään ei estä tekemästä tuota suoraan valvontakameroiden yhteydessä.
medium.com
www.kyberturvallisuuskeskus.fi
restoreprivacy.com
Tunnareiden salisten vaihto vasta kun uus serveri tulilla, eivät kiirettä näemmä pidä.
www.hs.fi
vivaldi.com
vivaldi.com
Lisää hätäkorjauksia chromelle:Chromesta löytynyt tietoturva reikä, joka vaatii päivitystä, myös sen engineen perustuvat selaimet (esim. Opera, Vivaldi, Edge) vaatii päivitystä...
Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability
Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band updatethehackernews.com
- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
Koko wifi-standardi tuntuu olevan melkoista kuraa, kun näitä haavoittuvuuksia on ollut aika paljon.Mielenkiintoinen aukko löydetty WiFi standardista, etenkin yrityksille paha, teollisuusvakoilu jne...
WiFi protocol flaw allows attackers to hijack network traffic
Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.www.bleepingcomputer.com
Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.
The researchers report that network device models from Lancom, Aruba, Cisco, Asus, and D-Link are known to be affected by these attacks
The researchers warn that these attacks could be used to inject malicious content, such as JavaScript, into TCP packets.
While this attack could also be used to snoop on traffic, as most web traffic is encrypted using TLS, there would be a limited impact.
www.anvilsecure.com
Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...
Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.
We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.
Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.
Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...
Itsellänikin on tiukat Apparmor-profiilit käyttämilleni kuva- ja video-ohjelmille, PDF-lukijoille yms.
Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.
/cdn.vox-cdn.com/uploads/chorus_asset/file/23426725/MicrosoftEdge.png)
Yksi esimerkki puhelimen kaappaamisesta ilman käyttäjän toimia on StageFright haavoittuvuus vuodelta 2015. Siinä Android puhelimien mediakirjastossa oleva haavoittuvuus altisti ne suorittamaan ohjelmaakoodia tietyssä tilanteessa hyökkääjän lähettämästä MMS-multimediaviestistä. MMS-viestin koodinpätkä sitten voisi ladata hyökkääjän omalta palvelimelta varsinaisen vakoiluohjelman ja asentaa sen puhelimeen. Stagefright (bug) - Wikipedia
Dokkaria en ole katsonut mutta ainakin juuri tuota Pegasosta on asennettu iPhoneihin Whatsapp 0-day haavaa hyväksikäyttäen ilman käyttäjän toimia.
techcrunch.com
citizenlab.ca
Oletusarvoisesti toivottavasti tälläisten henkilöiden laitteiden tietoturvasta vastaavat osaavat tahot eivätkä käyttäjät itseApplellä on tuo Lockdown mode, mutta käyttääkö sitä henkilöt joihin voi kohdistua edistyksellisiä hyökkäyksiä.
Apple’s high security mode blocked NSO spyware, researchers say | TechCrunch
Apple has fixed the three exploits used to deploy the Pegasus spyware, which did not require any interaction from the target.Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab
In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.
Ehkä, ehkä ei.
/img-s3.ilcdn.fi/3d9d39cd819cc2915ebbb42063387436f4a745bc768915325319a739816eede0.jpg)
www.iltalehti.fi
yle.fi
www.theguardian.com
Kannattaa muistaa, että poliitikot ja kansanedustajat ovat käytännössä yksityisjenkilöitä tai ainakin kokevat itsensä sellaisiksi.Ehkä, ehkä ei.
Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”
Hallitus käyttää omaa Whatsapp-ryhmää.
Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”
Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.
Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.
Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'
Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi
Vaimon firmassa Teams ja Skype lisäksi vain Signal on sallittu laitteissa joilla työasioita hoidetaan. Ei ole edes mahdollista esim. Whatsappia heidän työpuhelimiin ladata vaikka yrittäisinkin. Lisäksi esim. sallitut puhelinvalmistajat ovat Apple (iPhone puhelimet) ja Microsoft (Suface Duo puhelimet).Ehkä, ehkä ei.
Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”
Hallitus käyttää omaa Whatsapp-ryhmää.
Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”
Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.
Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.
Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'
Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi
Ei mitään uutta. Monta tukkapölly keskustelua on käyty siitä, että jos halutaan jotain turvallista, niin huuhaa ominaisuudet kuten videot pitäisi jättää pois koska ne heikentävät tieoturvaa. Mutta tämä on käsitelty muistaakseni moneen kertaan. Hyvä ajoitus, koska just tässä mietin pari päivää sitten. Että jos laitaisi vaikka botin kanssa kaikki videot mitä craweri netistä löytyää, niin montakon niistä sisältäisi jotain haitallista?
Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.Paras Microsoft-uutinen moneen kuukauteen:
KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support
support.microsoft.com
Pitää väsäillä aiheesta videon näin pelikone + AppLocker-näkökulmasta.
Kuulostaa kyllä niin hankalalta viritelmältä että ei varmaan monen koneessa tule olemaan päällä. Niin paljon käytetään hyödyllisiä pikku työkaluja joiden tekijöillä ei ole resursseja alkaa noin järeisiin tarkistuksiin. Jo nyt taitaa osalle tuottaa tuskaa nää signaukset.Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.
Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.
Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.
