Ilmeisesti tämän vuodon seurauksena on torstaina julkaistu/dumpattu materiaalia, jossa löytyy MSI:n tuotteiden BIOS/UEFI päivitysten allekirjoitusavaimia. Jos ymmärsin oikein, niin MSI:n ohjetta tosiaan kannattaa noudattaa ja katsoa huolella mistä lataa mahdollisia päivityksiä. Tuolla sanotaan että vuodossa on mukana myös jokin Intelin privaattiavain OEM-valmistajille (Boot Guard), joten lisää tietoa vaikutuksista tullee vielä perässä.Tällä kertaa MSI on joutunut hakkereiden kohteeksi, mutta MSI ei ole kertonut mihin on päästy käsiksi, mutta varoittelee käyttäjiä lataamasta BIOS/firmware tiedostoja muualta kuin virallisilta sivuilta...
Taiwanese PC Company MSI Falls Victim to Ransomware Attack
Taiwanese PC company MSI confirms cyber attack on its systems and urges users to only download firmware/BIOS updates from its official website.thehackernews.com
- MSI did not disclose any specifics about when the attack took place and if it entailed the exfiltration of any proprietary information, including source code.
- MSI is further urging users to obtain firmware/BIOS updates only from its official website, and refrain from downloading files from other sources.
MSIn oma virallinen tiedote:
MSI Global - The Leading Brand in High-end Gaming & Professional Creation
As a world leading gaming brand, MSI is the most trusted name in gaming and eSports. We stand by our principles of breakthroughs in design, and roll out the amazing gaming gear like motherboards, graphics cards, laptops and desktops.www.msi.com
AppLocker / Smart App Control-aihetta hieman hipoen, verkkorikolliset ovat alkaneet allekirjoittelemaan malwarea Intelin OEM sertifikaatilla, kiitos MSI:n vuodon.Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.
Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.
Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.
github.com
Jopa O365:ssa se on kyllä todella perseestä käyttää ja ottaa käyttöön ja saattaa jopa katoilla ribbonilta osalla käyttäjistä eri bugien ja GPO:n mukana jne. Jumalattoman rasittavaa, että perusominaisuus on noin hanurista käyttää. En kyllä muutenkaan ymmärrä miten MS saa vuosi toisensa jälkeen pilattua kaiken mitä se luo. Kaipa se jonkun on pidettävä helpdesk-ulkoistusfirmat elossa.
Ehkäpä se johtuu siitä, kun on niin paljon rahaa ja valta-asemaa, ettei laatu pysy käsissä, kun huonollakin pärjää.
Muistelin, että tuosta aikoinaan tänne kirjoitinkin (reilu kolme vuotta sitten), silloin jo oli wlan sun muut mahdollisuudet...
Oli menny multa varmaan ohi toi sun postaus, mut ihan hyvä näistä on muistuttaa tasaisin väliajoin
.Joo ei oo helppoo Pentti Perustallaajalla, jolla ois intoa turvata omat laitteensa, mutta tiedon haku itsenäisesti on tasoa telkku uutiset/ohjelmat/mainokset/jne., välillä Youtubea sekä sen mainoksia, sanomalehdet, sekä niinden mainokset. Lopputulos... Noh.. jätän kertomatta. Jokainen saa itse kuvitella mikä se on...
9to5google.com
Apple toi macOS Venturaan rajoituksen jos on Apple Siliconilla varustettu kannettava. Eli tarvittaessa kysyy kun liittää tuntemattoman lisälaitteen kiinni. Tuota ominaisuutta ei ole Applen pöytäkoneissa.
Ite oon yrittäny päästä eroon googlen hakukoneesta, mutta joutunu palaamaan takaisin vakoilun/valvonnan alle, kun esim. Duckduckgo:n tulokset on täyttä pa...aa... Ei hirveesti innosta käyttää muita, kun yrität aloittaa päivän ja huomaat et koko verkko on nurin, tiedät missä on vika, mutta et muista mikä se keleen komento oli, jolla asia sais korjattua, etkä ajatellut tallentaa sitä kirjainmerkkeihin mistä se löytyy.Informaation hakeminen on ikävä kyllä muuttumassa sukupolvien myötä ja omasta mielestä menossa surkeaan suuntaan. Nykyään ku hakee jotain asiaa, niin monesti on video muodossa tarjolla linkkejä ja 95% on kuraa!
No nyt sitten aletaan tätä tukemaan enempi hakukoneen suunnalta ja epäilen että laajenee vaan tulevaisuudessa.
Report: Google making Search more ‘visual, snackable, personal, and human’
AI coming to Google Search is more than a given at this point, and a new report details how the engine is set to become more personal…
plan to make Google Search more “visual, snackable, personal, and human.” One aspect of that will involve adding more “short videos” to Search results in response to how young people are increasingly getting information.
Google senior vice president overseeing the search engine, said at a conference in July last year that about 40% of young people turn to TikTok or Meta Platforms-owned Instagram when searching for restaurants, citing an internal study.
Ei koske, tai ei tule koskemaan, jatkossa EU:n alueella/alueelta myytyjä Applen latureita/kaapeleita. Muistaakseni eilen kuulin/luin uutisen et Apple haluaa olla Apple ja estää muiden valmistajien latureiden, SEKÄ kaapeleiden, lataamasta Applen laitteita täydellä teholla.Apple toi macOS Venturaan rajoituksen jos on Apple Siliconilla varustettu kannettava. Eli tarvittaessa kysyy kun liittää tuntemattoman lisälaitteen kiinni. Tuota ominaisuutta ei ole Applen pöytäkoneissa.
Jos Macisi pyytää sinua sallimaan lisälaitteen liittämisen - Apple-tuki (FI)
Sinun on sallittava uusien USB- tai Thunderbolt-lisälaitteiden sekä SD-korttien liittäminen, ennen kuin voit käyttää niitä Applen sirulla varustetun Mac-kannettavan kanssa.support.apple.com
Testasin liittämällä tavallisen näppäimistön usb-c porttiin niin kysyy heti.
Siis mikä ei koske/tule koskemaan? Jos tuo kysyy lupaa minkä tahansa USB-laitteen kytkemiseen (myös Applen valmistamien) niin en näe että EU:lla olisi mitään sitä vastaan.
AP mainitsi tuntemattoman lisälaitteen.
En tiedä miksi haluat vääntää rautalankaa kun eihän tässä ollut mitään epäselvää. Laitehan ei edes estä minkään kaapelin käyttöä vaan kysyy käyttäjältä saako kytketty laite siirtää dataa.
Myönnän virheeni!
!
Hint: Startpage, google ilman valvontaa.
Olin jo unohtanu tuon.... Kiitos! Ja silloinkin se tais jäädä tasolle "tää ei näytä googlelle". Se tais olla jotain aikoihin jolloin Startpage oli ns. "IN" kaveripiirissä ja itteä ei taas kiinnostanu hypätä hypetyksen mukaan yhtään (muistissa oli Ubuntu 6.xx, jota hypetettiin myös kaveripiirissä ja taso oli taas jälleen luokkaa: "Tilasin netistä Ubuntun sivuilta ILMAISEKSI asennus cd:n, osasin asentaa sen, avata selaimen ja aikuisten oikeesti SE toimi!).
Selvittelin miten Startpage onnistuu tekemään suojatumman toteutuksen Google hakukonetta käyttäen. Ilmeisesti Startpage näyttää jonkin verran mainoksia, mutta ei käytä niiden valintaan käyttäjän hakuhistoriaa. Ja saa mainoksista rahaa, jolla sitten maksaa Googlelle korvausta. Kaipa tuo voi toimia, koska Googlen kannalta voi olla parempi että haku ei mene kilpailijalle. Google varmasti tekee rahaa hakutilastoilla silloinkin, kun yksittäisen haun tekijää ei tunnisteta.
github.com
Voisi taas kysyä, onko jossain menty pieleen ja pahasti, jos pelkkä johdon liittäminen puhelimeen voi johtaa puhelimen kaappaamiseen.
Tässähän nyt ei ole kyse pelkästään puhelimet, USB johtoja käytetään monen eri oheislaitteen kytkemiseen, eli sama kaappaus onnistuu, jos vaikka kytket näppiksen tuollaisella johdolla tietokoneeseen ja täten voidaan ottaa tietokoneesi haltuun etänä esimerkiksi...
www.kyberturvallisuuskeskus.fi
Katsotaan saadaanko noihin autentikointipyyntöhihin noi lisätiedot mukaan. Ainakin eräs liikepankki lähettää autentikointipyynnöt ilman mitään referenssiä, ei tietoa pankista tai tapahtumasta. Olen monta kertaa maininnut ja viimeksi kun käytin, ei ollut vieläkään korjattu. Samoin osa autentikoinninpyytäjistä ei anna mitään pyytäjä tietoa. Eli antavat vain referenssi koodin.
Mitä tämä mahtaa tarkoittaa "Suomen rahassa", lyhyellä ja pidemmällä aikajänteellä? Ettei olisi joskus tulossa pakolliseksi?
Miten kirjaudut nykyään esimerkiksi pankkiin, jos sinulla ei ole jotain vahvaa tunnistusta käytössä?
Tunnuslukukortti toimii edelleen.
Ehkä kannattaa pikkuhiljaa siirtyä moderniin tekniikkaan, tietenkin oma valinta, mutta turha valittaa jos jokin palvelu lakkaa toimimasta. Maailma kehittyy ja tietoturvaa pyritään parantamaan ja helpottamaan....
Dedikoitu koodilaite on nykyaikaa mutta eipä pahvikortissakaan mitään olennaista vikaa ole. Koodilaitteessa on niin vähän osia, että se voi olla mahdollista osoittaa luotettavaksi.
Senhän ei tietenkään tarvitsekaan olla turvallisempi. Jos se olisi edes yhtä turvallinen niin sekin olisi aika mahtavaa.
research.checkpoint.com
Kännykkä sovelluksessa on toisaalta tuo huono puoli että se on aina mukana. Ts. sulta voidaan ryöstää muutakin kuin lompsa ja luuri, myös tilille pääsee käsiksi.
Ei pääse, ainakaan Dansken ja S-pankin tapauksessa.
No tietysti jos sisään ei pääse itsekään, mutta en mä tuota miksikään positiiviseksi asiaksi miellä.
Pahvikorteista haluttiin eroon, kun ikäihmisten korteista napsittiin kuvia salaa. Nuo ovat todella turvattomia nykypäivänä, kuten vihkoon kirjoitetut salasanatkin. Nyt pitää muistaa että asiasta puhutaan massojen näkökulmasta, eikä esim. pankkiholvia omistavasta yksineläjästä.
Nykyäänhän ne pahvikortit toimivat niin että turvaluvun järjestysnumero tulee tekstiviestinä, jolloin sillä pelkällä pahvikortin kopiolla ei pääse kuin tarkastelemaan tilitapahtumia tms.
S-pankkiin voi kirjautua vaihtoehtoisesti tunnuslukutaulukolla ja Danskeen pääsee myös itsenäisellä tunnuslukulaitteella, tai vaihtoehtoisesti käyttämällä toisen pankin tunnistusta.
Onhan kaikilla pankeilla myös vaihtoehtoinen tunnistussysteemi jos ei ole älypuhelinta, tai halua käyttää appia.
Juu, eli mikä on sitten ongelmana?
Eli jos kännykkä pöllitään, se joka pölli sen luurin, ei pääse tyhjentämään tiliä, vaikka toisin väitit:
Ja itse tilinomistaja pääsee tilille edelleen sisään vaihtoehtoisella tavalla, kuten jo todettu.
Ei, vaan sanoin että sulta voidaan ryöstää rahat myös tililtä, jos sulla on matkassa kännykkä jossa tuo pankin applikaatio.
Eli tarkotatko sä nyt skenaariota, jossa varas pakottaa sut siirtämään rahat tililtä varkaan tilille? Vai mitä nyt haet?
Jos ajatellaan pöllitty puhelin päätyisi niin taitavalle hakkerille, että hakkeri saisi huijattua puhelimen hyväksymään "biometrisen tunnistuksen", niin mikä sen nähdäksesi estäisi? Hakkeri käynnistää pankin sovelluksen, tunnistautuu huijaamalla sovellukselle että biometrinen tunnistus onnistui, tekee tilisiirron, vahvistaa jälleen huijaamalla sovellukselle biometrisen tunnistuksen. Jos iso siirto niin saa lisäksi vahvistuskoodin tekstiviestillä joka tulee samaan puhelimeen ja jonka saa naputeltua sovellukselle.
No ryöstö tarkoittaa sitä että sulta viedään omaisuutta väkivalloin tai väkivallalla uhkaamalla. Eli vaikka juuri suoraan ryöstäjän tilille.
Ne jotka puhelimia vielä 2023 pöllii random yksittäisiltä henkilöiltä, niin eivät tuohon pysty.
Joo toki teoriatasolla mahdollista, mut imho aika kaukaa haettu et joku random tyyppi tulee ryöstämään sulta lompakon ja luurin, on varustaunu omalla, tai jonkun muun tilinumerolla minne rahat siirtää ja on vielä tarpeeksi kärsivällinen et jää paikalle odottelemaan tilisiirron läpivientiä.
Kun pistää mielikuvituksen lentoon tuohon tyyliin, niin voihan sitä keksiä vaikka mitä skenaarioita...
