Tietoturvauutiset ja blogipostaukset

[escalibur]

Joka on mikä?

2FAS, Aegis, miksei jopa Bitwardenin uusi ja erillinen MFA tai Ente Auth.

 

[Humanoid]

KeePassXC työpöydällä ja KeePassDX Androidissa + StrongBox iOS:ssä toimii myös 2FA-varastona.

 

[Tobotialainen]

Itsellä tuo Tvilio käytössä, voi hemmetti. Siirryin joskus Microsoftin authenticatorista jostain syystä ja nyt joudun kuitenkin Microsoftia käyttämään salasanattoman tilin takia, eli pitäisi kai nähdä vaiva ja siirtää loputkin takaisin. Tuossa oli vaan muistaakseni joku etu mitä ei Microsoftin jutussa ollut(pilvitallennus?) vai mikäköhän oli miksi siirryin

 

[jase]

Vaikka WRT54G oli kova purkki aikanaan, ehkä jättäisin nämä tuoreimmat ostamatta.

Linksys Velop routers send Wi-Fi passwords in plaintext to US servers

According to Testaankoop, the Belgian equivalent of the Consumers' Association, two types of Linksys routers are sending Wi-Fi login details in plaintext

stackdiary.com

During routine installation checks, Testaankoop detected several data packets being transmitted to an AWS server in the US. These packets included the configured SSID name and password in clear text, identification tokens for the network within a broader database, and an access token for a user session, potentially paving the way for a man-in-the-middle (MITM) attack.

Selvästi konekäännetty tuosta lähteestä, mutta eiköhän se pääosin selväksi tullut.

 

[ztec]

2FA-työkalut kannattaa valita sellaisiksi, että ne toimivat offlinessa ilman mitään tunnuksia mihinkään palveluun. Ei ole riskiä siitä, että tunnukset tai seedit vuotaa jonnekin.

Eihän tuo mitenkään sitä estä, että tunnukset ja shared secretit vuotaa siitä palvelusta jonka kanssa niitä käytetään. Siksi on olemassa järjestelmiä jotka ei käytä shared secrettiä kuten WebAuthn / FIDO2. FIDO2 tarjoaa myös automattisesti mahdollisuuden avainten turvalliseen säilyttämiseen niin, että niitä ei voida varastaa, ainakaan mitenkään kohtuullisin resurssein.

Olikos Blast-RADIUS hyökkäys jo mainittu? MITM:illä sisään järjestelmiin ilman salasanaa, koska käyttää MD5:sta. Ei sinänsä yllätä, perusteet ihan perusteita, sovellettu vaan. Kivan logon ja saitinkin ovat vaivautuneet tekemään asialle.

 

[Algron28]

Taas tuli konkreettinen havainto miksi nämä tietoturva asiat on nykyäään tärkeitä. Tuossa näpyttelin ei vielä varsinaisessa käytössä olevaan Mikrotikin reitittimeen palomuurisääntöjä ja testausta varten oli ping sallittuna wanista ja kylläpä vaan riitti koputtelijoita kun pistin säännölle hetkeksi loggauksen päälle. Sitten oli vahingossa pari minuuttia säännöt niin että hallintaportit oli auki internettiin päin kun pyörittelin sääntöjen järjestystä ja kylläpä oli botit koittaneet paukuttaa sisäänkirjautumista eri tavoin.

 

[Agent_007]

CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita

Global website outage caused by CrowdStrike cybersecurity glitch

The news: Banks, airlines, media, supermarkets and tech platforms in Australia and across the world have been hit with a simultaneous outage caused by a cybersecurity glitch related to CrowdStrike software.

www.capitalbrief.com

 

[kuoris]

^ en ole koskaan kuullutkaan tuollaisesta ohjelmasta mutta ilmeisesti laajasti käytössä. Kalliiksi tulee jos lentokoneet eivät tuollaisen takia pääse ilmaan.

 

[Ahaweli]

Samaan aikaan Microsoftilla: Microsoft 365 remains 'degraded' as Azure outage resolved

" Microsoft 365 remains 'degraded' as Azure outage resolved - Central US region is back in business but Office apps still in trouble"

 

[Supraṇava]

^ en ole koskaan kuullutkaan tuollaisesta ohjelmasta mutta ilmeisesti laajasti käytössä. Kalliiksi tulee jos lentokoneet eivät tuollaisen takia pääse ilmaan.

Tuo on yrityspuolella käytössä sekä työasemissa että palvelimissa. Tämä ongelma koskee vain Windows-käyttöjärjestelmää. Ei siis Linux-käyttiksiä tai MacOS yms.

 

[escalibur]

CrowdStrike-tietoturvaratkaisujen ongelmat ovat kaataneet satoja palveluita. Ongelmia on mm. lentokentillä, kaupoissa, hätäpuhelukeskuksissa ja pankeissa. Myös suomalaisilla toimijoilla on käytössä kyseisiä tuotteita

Global website outage caused by CrowdStrike cybersecurity glitch

The news: Banks, airlines, media, supermarkets and tech platforms in Australia and across the world have been hit with a simultaneous outage caused by a cybersecurity glitch related to CrowdStrike software.

www.capitalbrief.com

Onhan edellisestä sekoilusta Ridiculous vulnerability disclosure process with CrowdStrike Falcon Sensor | mod%log jo muutama vuosi aikaa.

 

[Admiral General Aladeen]

Tämä on se riski, kun on liian paljon identtinen softa käytössä kaikkialla, nykytrendin mukaan automaattiset päivitykset ja sitten tulee jokin rikkinäinen päivitys jakoon ja kaikki sammuu kerrasta. CrowdStrike ei taida ihan heti saada uusia asiakkaita tällaisen mainehaitan jälkeen.

 

[leripe]

Tämä on se riski, kun on liian paljon identtinen softa käytössä kaikkialla, nykytrendin mukaan automaattiset päivitykset ja sitten tulee jokin rikkinäinen päivitys jakoon ja kaikki sammuu kerrasta. CrowdStrike ei taida ihan heti saada uusia asiakkaita tällaisen mainehaitan jälkeen.

Näitä on käynyt aika pitkälti jokaiselle av valmistajalle, joten tuskimpa hirveästi haittaa menoa kärkipaikalla, kun ei huonommillakaan valmistajilla.

 

[user9999]

CrowdStriken päivitys aiheuttanut häiriöitä Windows-laitteissa | Kyberturvallisuuskeskus

CrowdStrike-tietoturvaohjelmiston päivitys on aiheuttanut Windows-laitteissa toistuvan uudelleenkäynnistymistilan (boot loop). CrowdStrike on pääosin organisaatiokäytössä oleva tietoturvaohjelmisto. Tapauksesta on aiheutunut häiriöitä ja käyttökatkoja organisaatioille ja eri palveluille ympäri...

www.kyberturvallisuuskeskus.fi

 

[asddsa]

Ilman jotain automaattisia päivityksiä tätä ei olisi tapahtunut. Muodostaa aika suuren riskin. Ei vaadi muuta, kuin että firma tekee yhden pahemman virheen ja se päätyy automaattisesti koneille ympäri maailmaa.

 

[mikajh]

Ilman jotain automaattisia päivityksiä tätä ei olisi tapahtunut. Muodostaa aika suuren riskin. Ei vaadi muuta, kuin että firma tekee yhden pahemman virheen ja se päätyy automaattisesti koneille ympäri maailmaa.

Niinno, ilman automaattisia pakotettuja päivityksiä ei mikään, edes krittinen hyvä tietoturvakorjaus tulisi ikinä asennetuksi yhteenkään koneeseen maailmalla. Se mikä on vuosien varrella muuttunut, että IT-osasto ei näitä enää ennakkoon testaa, vaan suoraan toimittajien loppuasiakas

 

[Algron28]

Voisi olettaa että noin suuressa palvelussa se tietoturva on monnen asiakkaan kohdalla ostettu palveluna jolloin toki luotetaan automaattiseen päivitykseen. En ole kaivellut sen tarkemmin kuinka isosta päivityksestä edes on ollut kyse mitä on ajettu eli pitikö olla kuinka "perus kauraa". Ilmeisesti tuo ongelma vaan on mallia hankala korjata sillä ainakin kyberturvallisuuskeskuksen mukaan:

Häiriön korjaus vaatii tämänhetkisten tietojen valossa ylläpitäjän käynnin paikan päällä.

Joten rollback ei ole helposti tehtävissä välttämättä.

Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.

 

[Hyrava]

Voisi olettaa että noin suuressa palvelussa se tietoturva on monnen asiakkaan kohdalla ostettu palveluna jolloin toki luotetaan automaattiseen päivitykseen. En ole kaivellut sen tarkemmin kuinka isosta päivityksestä edes on ollut kyse mitä on ajettu eli pitikö olla kuinka "perus kauraa". Ilmeisesti tuo ongelma vaan on mallia hankala korjata sillä ainakin kyberturvallisuuskeskuksen mukaan:



Joten rollback ei ole helposti tehtävissä välttämättä.

Varmaan oli hyvä idea taas perjantaiksi tällainen ottaa. Kaikki menee kuin strömsössä ja ei kun viikonloppua viettelemään.

Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä. Virtuaalikoneisiin tuon saa tehtyä etänä tai palautettua vain aikaisempi snapshot tai backup.

Juuri tuon takia en ainakaan itse töissä koskaan päivittele mitään perjantaisin ellei ole aivan pakko. Aikanaan opin jo ihan asentajahommissa sen että jos joku voi mennä pieleen niin se menee todennäköisimmin pieleen perjantaisin. Pari kertaa tuli meinaan käytyä "ihan pienellä huoltokeikalla" perjantai-aamupäivänä ja sitten totesikin iltakahdeksan nurkilla ettei mennyt ihan putkeen...

Meillä ainakin ajetaan päivitykset manuaalisesti kaikkiin servereihin ja oleellisimpiin laitteisiin, yleensä alkuviikosta ja ihan vain sen takia että kun joku menee pieleen niin vitutuksen määrä jää huomattavasti pienemmäksi kun ei mene viikonloppukin pilalle.

 

[leripe]

Crowdstrikessa pystyy valitsemaan ainakin agenttien versioiden päivityksien osalta esim. N-1, n-2, tietty versio. Tunnisteiden osalta en muista voiko vastaavasti, mutta niiden osalta onkin sitten isompi riski zeroday asioiden kanssa jos niiden päivityksiin laittaa viivettä.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.

 

[Algron28]

Crowdstrikessa pystyy valitsemaan ainakin agenttien versioiden päivityksien osalta esim. N-1, n-2, tietty versio. Tunnisteiden osalta en muista voiko vastaavasti, mutta niiden osalta onkin sitten isompi riski zeroday asioiden kanssa jos niiden päivityksiin laittaa viivettä.
Veikkaisin, että tässä kyse jälkimmäisestä eli tunniste mennyt pieleen ja estetty jotain winukan tärkeitä asioita. Eiköhän full raportti tule ulos jossain kohtaa.

Joo, ainakin redditin perusteella näyttäisi siltä että kyse on juurikin tunnisteiden päivityksestä joka tosiaan taitaa yleensä olla automaationa ja lisäksi siellä tiedettiin että niitä päivityksiä niihin rullataan joskus useitakin kertoja päivässä.

 

[Barbarossa]

Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä.

Hiukan voi olla haastava kun kone on BSOD loopissa. Ja vielä aika usein niissä suurissa organisaatioissa joiden IT managereihin tällainen crowdstrike uppoaa kuin väärä raha loppukäyttäjällä ei ole edes admin-oikeuksia koneeseensa saati että bitlockerin avaimia tiedossa. IT:llä mahtaa tulla pitkähkö viikonloppu...

 

[asddsa]

Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.

Niinno, ilman automaattisia pakotettuja päivityksiä ei mikään, edes krittinen hyvä tietoturvakorjaus tulisi ikinä asennetuksi yhteenkään koneeseen maailmalla

Aika paksu väite. Ainakin omalla työpaikalla noita päivityksiä seurataan ja asennetaan harkitusti.

 

[kuukie]

Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.

Niinkö meinaat? Jo muutaman sadan käyttäjän ympäristöissä päivittäin useita estettyjä eritasoisia uhkia aina ransomwaresta kännissä ja läpällä näytönsäästäjä pränkkiin. Ja jokainen vastaantuleva usb-liittimen omaava esine myös tungetaan työkoneeseen kiinni

 

[Barbarossa]

Useinhan näitä ylipäätään asennetaan ihan vain siksi, että täytetään joku mielivaltainen vaatimus että jokaisella koneella pitää olla tietoturva/endpoint protection softa. Se että paljonko siitä oikeasti on hyötyä on toissijaista.

Itsellä muodostunut tässä vuosien varrella sellainen teoria että kun organisaation IT kasvaa tarpeeksi suureksi niin jossakin vaiheessa managementtiin alkaa pesiytyä porukkaa joiden osaaminen on muualla kuin tietoturvassa tai IT:ssä ylipäätään.

Näille kuitenkin tulee paljon vastuuta monestakin syystä, niin täytyy ratkaista se ongelma sillä osaamisella mitä sattuu löytymään. Eli tavoite ei olekaan ehkäistä pökäleen osumista tuulettimeen, eikä edes valmistautua sen seurausten hoitoon. Vaan tärkeimmäksi asiaksi muodostuu sen varmistaminen että kun se tilanne tulee, niin syyllinen on jo varmistettu ja se on joku muu.

Tälle porukalle myydäkseen Crowdstrikeä ja vastaavaa ei konsultin paljoa tarvitse töitä tehdä, muutama sopiva buzzword ja kyberturvallisuusfraasi, ja ymmärrys siitä että näin se vastuu ulkoistetaan kätevästi, niin kohta se kötöstys jähii organisaation jokaisessa koneessa pesukoneesta lähtien.

 

[Kautium]

Crowdstrike on kyllä siinä mielessä jännä firma, että mm. minulla on kokemusta alalta reilut 20 vuotta, eikä ole kertaakaan tullut vastaan tuon firman tuotteet muuten kuin sivuhuomautuksissa ja uutisoinneissa erinäisiä hakkerointitapausten selvityksiä koskien. Firman markkinoinnin focus on selvästi Euroopan ulkopuolella, mutta kovasti se on aiheuttanut ongelmia tuon kämminsä myötä globaalisti.

Mm. BBC uutisoi "globaalista IT-katkoksesta", josta ei todellisuudessa ole kyse, vaikka ongelma laaja onkin. Merkittäväksi tilanteen tekee se, että ongelmasta kärsii moni kansainvälinen iso yritys ja korjaus on hankala toteuttaa viallisen päivityksen aiheuttaman boottiloopin vuoksi. Ja jos koneessa on ollut käytössä Bitlocker, on korjaus erityisen hankalaa, koska se edellyttää systeemihakemistossa olevien tiedostojen poistamista. Kyse ei Crowdstiken mukaan ollut normaalista päivityksestä, eikä missään nimessä ulkopuolisesta hyökkäyksestä, vaan jonkin tietyn päivityskanavan myötä tulleesta viallisesta korjauksesta. Huvittavasti nyt jo näkee eri keskusteluissa ja uutisissa miten myös Microsoft on joutunut antamaan lausuntoja, vaikka tilanne ei liity käytännössä mitenkään heidän tekemisiin.

Crowdstrike and Microsoft: What we know about global IT outage

A mass IT outage has caused chaos around the world, with major airlines among the victims.

www.bbc.com

Juu, fyysisillä koneilla tuo rollback tai korjaaminen ei ole ihan simppeli homma eikä ilmeisesti onnistu etänä. Virtuaalikoneisiin tuon saa tehtyä etänä tai palautettua vain aikaisempi snapshot tai backup.

Onnea matkaan jonkun DC-koneen snapshottien palautuksen kanssa.

Meillä ainakin ajetaan päivitykset manuaalisesti kaikkiin servereihin ja oleellisimpiin laitteisiin, yleensä alkuviikosta ja ihan vain sen takia että kun joku menee pieleen niin vitutuksen määrä jää huomattavasti pienemmäksi kun ei mene viikonloppukin pilalle.

Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.

 

[escalibur]

Isommissa taloissa on satoja tai tuhansia palvelimia. Ei niihin kukaan manuaalisesti mitään päivityksiä asentele.

Eikä ne manuaaliasennuksetkaan pelasta tilannetta. Päivitys joko rikkoo, tai on rikkomatta järjestelmiä. Manuaalisen työn sijaan on huomattavasti tehokkampaa ajastaa päivitykset vaiheittaisiin ryhmiin, jotta kaikki munat eivät olisi samassa korissa samaan aikaan. Vikatilanteissa ajastetut päivitykset voi laittaa jäihin ja huoltaa niitä jo rikottuja palvelimia. Maailma on mennyt automaattiseen suuntaan ja niin myös vendoreiden softien testauksetkin.

Tietoturvankin kannalta on pienempi paha että päivitys rikkoo järjestelmiä, kuin että murto tapahtuu paikkaamattoman reijän takia kun manuaalihommissa kestää.

Crowdstriken meininki voi johtua myös kesälomakaudesta, kun mestarit on lomilla ja tuuraajat harjoittelevat lennosta.

 

[asddsa]

Onhan noissa automaattipäivityksissä hyvätkin puolensa, mutta siitä huolimatta on kyllä aivan älytön riskitekijä, että joku yksittäinen päivitys voi saada näin paljon tuhoa aikaan pelkästään vahingossa. Sekä firmojen ja julkisen sektorin toimijoidenkin pitäisi tietenkin miettiä näitä riskejä. Liika luottamus johonkin yksittäiseen toimijaan voi muodostaa ihan merkittävän strategisen riskin.