Tietoturvauutiset ja blogipostaukset

tietokonerikki sanoi:
En tiedä onko oikea alue, mutta tuli alla oleva viesti.
"Applen ID-tunnusta käytettiin iCloudin käyttämiseen selaimesta..."
Oletan tuon olevan tietojen kalastelu tarkoitukseen tehty, kuten oli ainakin 2018.
En tota avannut, joten tarkempia tietoja en voi antaa.

En tiedä erottaako tota enää aidosta viestistä mitenkään (2018 oli kuulemma pari pikkuvirhettä, vaikka muuten kieli oli täydellistä Suomea).

Miten tuollaisilta Applen käyttäjät voivat suojautua? Olkaa nyt kuitenkin tarkkana.
Napsauta laajentaaksesi...
Kyberturvallisuuskeskus varoittelee nyt tuosta kalastelusta.

 
Mm. Koronavilkku-sovelluksen taannoisen lanseerauksen yhteydessä toppuuteltiin niitä henkilöitä jotka suhtautuivat penseästi mobiililaitteidensa jatkuvasti aktiiviseen bt-yhteyteen ja jotka spekuloivat siihen liittyvillä mahdollisilla tietoturvaongelmilla. Näille epäileville tuomaksille vakuuteltiin monelta eri taholta nyky-bluetoothin turvallisuutta "verrattuna entisiin Nokia-aikoihin".

Nyt vajaat pari viikkoa tuon jälkeen saamme lukea tuoreehkojen bt-standardien haavoittuvuuksista:

www.zdnet.com

BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys

All devices using the Bluetooth standard 4.0 through 5.0 are vulnerable. Patches not immediately available.
www.zdnet.com www.zdnet.com
 
Hans Niskatuki sanoi:
Mm. Koronavilkku-sovelluksen taannoisen lanseerauksen yhteydessä toppuuteltiin niitä henkilöitä jotka suhtautuivat penseästi mobiililaitteidensa jatkuvasti aktiiviseen bt-yhteyteen ja jotka spekuloivat siihen liittyvillä mahdollisilla tietoturvaongelmilla. Näille epäileville tuomaksille vakuuteltiin monelta eri taholta nyky-bluetoothin turvallisuutta "verrattuna entisiin Nokia-aikoihin".

Nyt vajaat pari viikkoa tuon jälkeen saamme lukea tuoreehkojen bt-standardien haavoittuvuuksista:

www.zdnet.com

BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys

All devices using the Bluetooth standard 4.0 through 5.0 are vulnerable. Patches not immediately available.
www.zdnet.com www.zdnet.com
Napsauta laajentaaksesi...
Ensinnäkin Bluetoothin pelkkä päällä pitäminen ei altista laitetta Blurtoothille vaan kyseinen haavoittuvuus liittyy laitteiden paritukseen. Haavoittuvuus liittyy siihen että jos laite A ja B on paritettu Bluetooth BR/EDR:llä (classic BT) tietyllä suojaustasolle, niin jos hyökkääjä C käyttäen laitteen B osoitetta onnistuu parittamaan laitteensa A:n kanssa BLE:tä käyttäen heikommalla suojaustasolla tämä ylikirjoittaa A:n ja B:n jakaman avaimen. Tämän jälkeen C suorittaa saman toimenpiteen B:n kanssa, jonka jälkeen hän voi toimia A:n ja B:n välissä kuunnellen heidän välisen liikenteen (man-in-the-middle).

Kyseinen hyökkäys vaatii siis hyökkääjän laitteen parituksen kohteen kanssa joka esim Android puhelimissa aiheuttaa kyselyn puhelimessa, että haluatko parittaa laitteen puhelimen kanssa. Näitähän ei pitäisi ikinä hyväksyä automaattisesti, jos et ole parittamassa puhelinta jonkin toisen laitteen kanssa. Lisäksi Koronavilkku lähettää beaconia, joka ei edes mahdollista laitteiden välisen yhteyden muodostamista, joten tämä kyseinen hyökkäys ei ole sen kautta mahdollinen.
 
Vähemmän yllättäen taas SSL / TLS ongelmia. Ajoitushyökkäykset ei sinänsä ole todellakaan mitään uutta, vaan ne syntyvät suorastaan itsestään jos niitä vastaan ei rakenneta huolellista suojausta:

Raccoon Attack

Hyvä aika kuitenkin päivitellä TLSv1.3:n jos ei ole vielä käytössä.
 
ztec sanoi:
Vähemmän yllättäen taas SSL / TLS ongelmia. Ajoitushyökkäykset ei sinänsä ole todellakaan mitään uutta, vaan ne syntyvät suorastaan itsestään jos niitä vastaan ei rakenneta huolellista suojausta:

Raccoon Attack

Hyvä aika kuitenkin päivitellä TLSv1.3:n jos ei ole vielä käytössä.
Napsauta laajentaaksesi...
Tästä oli aamulla lanka myös Hacker Newsin puolella

Raccoon Attack | Hacker News

news.ycombinator.com news.ycombinator.com
 
Hans Niskatuki sanoi:
Mm. Koronavilkku-sovelluksen taannoisen lanseerauksen yhteydessä toppuuteltiin niitä henkilöitä jotka suhtautuivat penseästi mobiililaitteidensa jatkuvasti aktiiviseen bt-yhteyteen ja jotka spekuloivat siihen liittyvillä mahdollisilla tietoturvaongelmilla. Näille epäileville tuomaksille vakuuteltiin monelta eri taholta nyky-bluetoothin turvallisuutta "verrattuna entisiin Nokia-aikoihin".

Nyt vajaat pari viikkoa tuon jälkeen saamme lukea tuoreehkojen bt-standardien haavoittuvuuksista:

www.zdnet.com

BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys

All devices using the Bluetooth standard 4.0 through 5.0 are vulnerable. Patches not immediately available.
www.zdnet.com www.zdnet.com
Napsauta laajentaaksesi...

Bluetooth haavoittuvuuksia sataa tasaisin väliajoin. Ehkä pahin oli BlueBorne vuodelta 2017 jolla saa koko laitteen kaapattua ilman paritusta. Nopea googletus paljastaa myös muita vähemmän kriittisiä sen jälkeen New Bluetooth Vulnerability Exposes Billions of Devices to Hackers ja Bluetooth vulnerability could expose device data to hackers

Siispä laitteen kannattaa olla aktiivisten tietoturvapäivitysten piirissä tai muuten Bluetooth on todennäköisesti haavoittuva. Tämäpä ei olekaan sitten yhtään vanhemmalla Android laitteella itsestäänselvyys.
 
On tuossa Bluetoothissa koko ajan jotain paikattavaa. Applen iOS 13 paikkaukset.

Julkaistu 19.9.2019
Bluetooth
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.
Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)

Julkaistu 24.3.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa kyetä katkaisemaan Bluetooth-liikenteen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9770: Jianliang Wu (PurSec Lab, Purdue University), Xinwen Fu ja Yue Zhang (University of Central Florida)

Julkaistu 20.5.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa kyetä katkaisemaan Bluetooth-liikenteen.
Kuvaus: PRNG:n käytössä oli ongelma, kun entropia oli pieni. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-6616: Jörn Tillmanns (@matedealer) ja Jiska Classen (@naehrdine) (Secure Mobile Networking Lab)

Julkaistu 20.5.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9838: Dennis Heinze (@ttdennis) (TU Darmstadt, Secure Mobile Networking Lab)

Julkaistu 15.7.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.
CVE-2020-9931: Dennis Heinze (@ttdennis) (TU Darmstadt, Secure Mobile Networking Lab)
 
mikajh sanoi:
Katsokaapa huviksenne kuinka moni web-site vielä käyttää TLSv1.2:sta
Napsauta laajentaaksesi...

Niin no... Koska mm. IIS ei tue 1.3:sta ollenkaan. Samoin TLSv1.0:n poisto käytöstä aiheutti hirveän määrän ongelmia, koska oli vaikka kuinka paljon saitteja ja softia, jotka eivät tukeneet mitään muuta vaihtoehtoa.

Erään projektin dokumentoinnissa vaadittiin, että kaikki verkkoyhteydet tulee toteuttaa käyttäen cURL:ia. Aluksi varmaan moni nörtti hieraisee silmiään ja toteaa että WTF. Tuntuu ihan trollaus typerältä tavallaan. Mutta sitten kun asiaa hetken miettii. On totuus se, että jos kaikki verkkoliikenne hoidetaan cURLin kautta, on salausoptioiden päivittäminen ja muuttaminen erittäin helppoa ja joustavaa tulevaisuudessa.
 
Infy sanoi:
Tämäpä ei olekaan sitten yhtään vanhemmalla Android laitteella itsestäänselvyys.
Napsauta laajentaaksesi...
Tämä ottaa päähän todella. Esim. Samsung Galaxy S7, joka on lienee nykymittapuussa ikivanha antiikkivehje, mutta on minulle edelleen passeli puhelin. Siinä on minulle riittävän hyvä kamera, toimii riittävän nopeasti, kännyn koko on ihanteellinen minulle (tarvittaessa sujauttaa hetkeksi vaikka kauluspaidan taskuun, eli mahtuu lompakkokoteloineen, uudemmat lippulaivakännyt ovat reilusti suurempia). S7 saa kai vielä jotain turvapäivityksiä, mutta monet edullisemmat saman ajan puhelimet eivät liene saa. Ihan hemmetin hanurista. Vaan onhan näistä puheltu useasti. Kunhan nyt mainitsin.
 
ztec sanoi:
Niin no... Koska mm. IIS ei tue 1.3:sta ollenkaan.
Napsauta laajentaaksesi...
Jooh, ehkä esim. op.fi käyttää sitä, koska kun juuri avautui pitkän huoltokatkon jälkeen, ei ollut tässä suhteessa parannusta tapahtunut.

Nordealla TLS 1.3
EDIT: ...tavallisilla web-sivuilla, ja uudessa(!) verkkopankissa 1.2!
 
Vähän ilkeämpi reikä löytynyt ja suositellaan pikaista päivittämistä firmoissa:
arstechnica.com

New Windows exploit lets you instantly become admin. Have you patched?

Zerologon lets anyone with a network toehold obtain domain-controller password.
arstechnica.com arstechnica.com
Researchers have developed and published a proof-of-concept exploit for a recently patched Windows vulnerability that can allow access to an organization’s crown jewels—the Active Directory domain controllers that act as an all-powerful gatekeeper for all machines connected to a network.

CVE-2020-1472, as the vulnerability is tracked, carries a critical severity rating from Microsoft as well as a maximum of 10 under the Common Vulnerability Scoring System. Exploits require that an attacker already have a foothold inside a targeted network, either as an unprivileged insider or through the compromise of a connected device.

Kotikäyttäjille tästä ei tietenkään ole mitään vaaraa (toki jotkut harrastelijat saattaa ajella kotona palvelimia)...
 
Tuo Bluetooth "BLESA" haavoittuvuus on vielä useimmilta paikkaamatta.

www.tivi.fi

Uusi bluetooth-haavoittuvuus uhkaa miljardeja laitteita ympäri maailman

Erityisesti Android-käyttäjillä on syytä huoleen.
www.tivi.fi www.tivi.fi
www.zdnet.com

Billions of devices vulnerable to new 'BLESA' Bluetooth security flaw

New BLESA attack goes after the often ignored Bluetooth reconnection process, unlike previous vulnerabilities, most found in the pairing operation.
www.zdnet.com www.zdnet.com

Apple on tuon paikannut aikaa sitten.

Julkaistu 24.3.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa kyetä katkaisemaan Bluetooth-liikenteen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9770: Jianliang Wu (PurSec Lab, Purdue University), Xinwen Fu ja Yue Zhang (University of Central Florida)
 
user9999 sanoi:
Tuo Bluetooth "BLESA" haavoittuvuus on vielä useimmilta paikkaamatta.

www.tivi.fi

Uusi bluetooth-haavoittuvuus uhkaa miljardeja laitteita ympäri maailman

Erityisesti Android-käyttäjillä on syytä huoleen.
www.tivi.fi www.tivi.fi
www.zdnet.com

Billions of devices vulnerable to new 'BLESA' Bluetooth security flaw

New BLESA attack goes after the often ignored Bluetooth reconnection process, unlike previous vulnerabilities, most found in the pairing operation.
www.zdnet.com www.zdnet.com

Apple on tuon paikannut aikaa sitten.

Julkaistu 24.3.2020
Bluetooth
Saatavuus: iPhone 6s ja uudemmat, iPad Air 2 ja uudemmat, iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa kyetä katkaisemaan Bluetooth-liikenteen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9770: Jianliang Wu (PurSec Lab, Purdue University), Xinwen Fu ja Yue Zhang (University of Central Florida)
Napsauta laajentaaksesi...
Siis tämähän ei ole mikään varsinainen haavoittuvuus BLE protokollassa vaan huono implemenentaatio palvelussa joka käyttää sitä. BLE:ssä ei ole pakko salata yhteyttä vaikka laitteet olisi paritettu aiemmin (paritus ei myöskään ole pakollista). Täten jos yhteyttä ei salata sen uudelleenmuodostumisen jälkeen on tietysti mahdollista esittää olevansa toinen laite. Oikein toteutetussa palvelussa, palvelua ei voi käyttää ilman yhteyden salaamista, jolloin valheellista tietoa lähettävä laite paljastuu.
Analogiana olisi väittää salasanasuojattun HTTPS:n olevan haavoittuva, koska pankki päästää hyökkääjän käyttämään tiliä HTTP:n ylitse ilman salasanakyselyä.

Se onko palvelun mahdollista tarkistaa BLE linkin salauksen tila on sitten toinen kysymys, enkä itse tunne Androidin Bluetooth APIa riittävän hyvin tietääkseni onko tätä mahdollista kysyä. Jos salauksen tilaa ei voi kysyä on tämä ehdottomasti haavoittuvuus Androidin BLE toteutuksessa.
Itse julkaisussa on selkeä virhe kuvaan 3 liittyvässä tekstissä. Kirjoittajat eivät ilmeisesti ole huomanneet että sana "must" BLE speksissä ei tarkoita pakottavaa määritystä vaan luonnollisen kielen mukaista täytyyä sanaa. Speksin mukaiset määräykset ilmaistaan aina sanalla "shall".
"The word must shall not be used when stating mandatory requirements. Must
is used only to express natural consequences of previously stated mandatory
requirements or indisputable statements of fact (ones that are always true
regardless of the circumstances). In the former case, the statement using must
shall include a reference to the actual requirement."
 

Backdoors and other vulnerabilities in HiSilicon based hardware video encoders · Alexei Kojenov

kojenov.com kojenov.com
Huawein HiSilicon hi3520d -pohjaisten videopakkauslaitteiden hallintaohjelmista on löytynyt useita tietoturva-aukkoja. Vakiokamaa huonosti toteutun tietoturvan osalta ovat mm. kovakoodattu salasana (newsheen), oletuksena auki oleva telnet-portti ja salasanan rajoittaminen kahdeksaan merkkiin. Huawein mukaan tietoturvaongelmat eivät ole lähtöisin heidän puoleltaan, vaan laitteita myyvät kolmannet osapuolet ovat toteuttaneet hallintaohjelmat, ja Huawei on valmis auttamaan heitä ongelmien korjaamisessa (tosin samat ongelmat tuntuvat löytyvän useista eri laitteista)
www.huawei.com

Security Notice – Statement on the Media Reports About the Suspected Security Issues in HiSilicon Video Surveillance Chips

www.huawei.com
 
EUssa ollaan hiljaisuudessa ehdotettu jälleen asioita, jotka tulee huonontamaan tietoturvaa monelta kantilta, etenkin yksityisyyden kannalta. Asiahan on vielä alkutekijöissään, mutta siellä monet tuntuu yrittävän ajaa väkisin asiaa läpi ja nopealla aikataululla jos mahdollista. Pääasiallinen paino tuntuu olevan lasten suojelussa, millä yritetään sitten kovasti puolustella näitä ehdotuksia, sehän tietenkin uppoaa hyvin suureen osaan ihmisistä ja unohdetaan sitten ajatella omalta kantilta asioita.

Eli lyhykäisyydessään, tuolla pyritään saamaan mahdollisuus seurata/skannata kaikkea salattua liikennettä sillä perusteella, että siellä liikkuu etenkin lapsiin kohdistuvaa kiellettyä materiaalia ja ehdotetaan että se sallittaisiin palvelun tarjoajille.

Parit linkit asiaan liittyen:

edri.org

Is surveilling children really protecting them? Our concerns on the interim CSAM regulation - European Digital Rights (EDRi)

On 27 July, the European Commission published a Communication on an EU strategy for a more effective fight against child sexual abuse material (CSAM). The Communication indicated several worrying measures that could have devastating effects for your privacy online. The first of these measures is...
edri.org edri.org
ec.europa.eu

EU Security Union Strategy: connecting the dots in a new security ecosystem

Today, the European Commission sets out a new EU Security Union Strategy for the period 2020 to 2025, focusing on priority areas where the EU can bring value to support Member States in fostering security for all those living in Europe.
ec.europa.eu ec.europa.eu

Mielenkiinnolla itse ainakin seuraan asian etenemistä, nythän loppuvuodesta voimaan tuleva European Electronic Communications Code (EECC) periaatteessa lisää turvaa, mutta sitten ollaan samantein huonontamassa tilannetta moninkertaisesti...
 
Onko kukaan tuota kaivellu. 4chan jaetaan linkkiä
just-reminding-everyone-that-this-exists
www.theverge.com

Windows XP source code leaks online

This leak is the latest in a series of Windows and Xbox source code leaks
www.theverge.com www.theverge.com

edit.
tuota ei kannata ladata, sisältää sontaa liikaa ja itse xp on salasanan takana. XP löytyy paremmin nt5src tiedostosta.
 
Viimeksi muokattu:
reportcybercrime.com

Hackers jailbreak Apple's T2 security chip powered by bridgeOS - Report Cyber Crime

Hackers jailbreak Apple’s T2 security chip powered by bridgeOS. The Apple T2 security chip has finally been jailbroken! Here’s all you need to know about it. The Apple T2 Security chip now has a jailbreak
reportcybercrime.com reportcybercrime.com

Eli Apple T2 -siruun löytyy nyt Jailbreak, jonka avulla onnistuu oman koodin ajaminen T2:lla. Helpottaa tulevaisuudessa mahdollisesti esim. komponenttien vaihtoa epävirallisten korjausliikkeiden kanssa, kun T2 ei enää valita epävirallisista osista, jos sen koodia muokataan.
 
Vähän lisä informaatiota tuosta "Digital Services Act" ohjeistuksesta, joka pitäisi tulla voimaan jo vuoden lopussa, mikä ainakin omasta mielestäni on täysin mahdoton juttu, kun katsoo mitä se sisältää. Tässä ainakin omasta mielestä ne isoimmat asiakohdat:

- Mahdollistaa laitevalmistajan omien appsien poiston, mikä on mielestäni ehkä yksi kiinnostavimmista kohdista monelle käyttäjälle!
- Erinäisten palveluiden "tasa-arvo"
- Lisää yksityisyys ja tietoturvaa kaikissa palveluissa

Lisätietoa löytyy vaikka:

The Digital Services Act package

The Digital Services Act and Digital Markets Act aim to create a safer digital space where the fundamental rights of users are protected and to establish a level playing field for businesses.
ec.europa.eu ec.europa.eu
www.digitalsme.eu

The Digital Services Act and the role of (social media) platforms - European DIGITAL SME Alliance

Brussels, 21 August 2020 (DIGITAL SME). In July 2020, the European Commission has launched two public consultations about digital services […]
www.digitalsme.eu www.digitalsme.eu
www.euronews.com

EU looks to curb powers of Big Tech with new Digital Services Act

The Digital Services Act, which is expected to be in place by the end of this year, is the first big overhaul of European internet regulation for two decades.
www.euronews.com www.euronews.com
www.eff.org

EFF Responds to EU Commission on the Digital Services Act: Put Users Back in Control

The European Union is currently preparing for a significant overhaul of its core platform regulation, the e-Commerce Directive. Earlier this year the European Commission, the EU’s executive, pledged to reshape Europe’s digital future and to propose an entire package of new rules, the Digital...
www.eff.org www.eff.org
 

edit: miten näitä uutisia linkataan tänne oikein..? :)

UEFI-rootkitit eivät ole näemmä poistuneet "muodista", vaikka ensimmäiset protot niistä esiteltiin jo yli 10 vuotta sitten erinäisillä hakkerimessuilla. Kirjoitin oman SMM-rootkit-PoCini alkuvuodesta. System Management Mode (SMM) siis suorittaa UEFIn lataamia SMM-"ajureita" ihan tietokoneen käynnistyksen jälkeenkin. Alun perin SMM tarkoituksena oli hoitaa tietokoneen virranhallintaa jne. Täten SMM on täysin x86_64-arkkitehtuurissa näkymätön moodi normaalille Long Modelle.

Pienenä mainoksena minun oma PoCini löytyy avoimena osoitteesta jussihi/SMM-Rootkit
 
Taas käydään keskusteluja, kuinka salaukset pitäisi purkaa, jos viranomaiset niin haluaa, eikä käyttäjiltä kysellä mitään.
Eli nyt pitkään on käytetty hyväksi tekosyytä, että lapsia pitäisi pystyä suojelemaan ja sen takia salaukset ovat "vaarallisia", koska se esimerkiksi mahdollistaa laittoman materiaalin levityksen. Tuon myötä sitten tietyt päättäjät ajaa asiaa läpi (ajattelematta, miten tälläinen vaikuttaisi ihmisten yksityisyys turvaan), että viranomaisilla pitäisi olla "avaimet", joilla pääsevät kyselemättä katsomaan salattua liikennettä.

Tässä vähän luettavaa, mitä viimeaikoina tapahtunut asian tiimoilla:

www.eff.org

Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption

The last few months have seen a steady stream of proposals, encouraged by the advocacy of the FBI and Department of Justice, to provide “lawful access” to end-to-end encrypted services in the United States. Now lobbying has moved from the U.S., where Congress has been largely paralyzed by the...
www.eff.org www.eff.org
www.theregister.com

Five Eyes nations plus Japan, India call for Big Tech to bake backdoors into everything

Or as they put it: ‘Embed the safety of the public in system designs … facilitating the investigation and prosecution of offences’
www.theregister.com www.theregister.com
 
En tiedä onko täällä käyttäjiä, mutta ajattelin kuiteski varoittaa asian suhteen. Eli Suomessakin myynnissä oleva Xplora X4 älykello lapsille sisältää vähän ylimääräistä, joka näyttäisi olevan Kiinan tekosia!

Kelloa myydään niin Gigantissa, Elisalla, Powerissa, Verkkokaupassa jne...

Xplora lasten kellopuhelin

Xplora kaupasta löydät turvalliset lasten kellopuhelimet sekä muut Xplora tarvikkeet. Lasten Xplora puhelin on varusteltu mm. soitto ja GPS-ominaisuuksilla.
www.xplora.fi www.xplora.fi

Lisätietoja tietoturvan kannalta:
arstechnica.com

Undocumented backdoor that covertly takes snapshots found in kids’ smartwatch

The X4, made and jointly developed in China, raises concerns.
arstechnica.com arstechnica.com
- The backdoor is activated by sending an encrypted text message.
- taking a snapshot and sending it to an Xplora server, and making a phone call that transmits all sounds within earshot.
- 19 of the apps that come pre-installed on the watch are developed by Qihoo 360, a security company and app maker located in China. A Qihoo 360 subsidiary, 360 Kids Guard, also jointly designed the X4 with Xplora and manufactures the watch hardware.
 
Onko täällä JavaScript kehittäjiä, jotka ovat käyttäneet näitä NPM kirjastoja:
www.zdnet.com

Three npm packages found opening shells on Linux, Windows systems

NPM staff: Any computer that has this package installed or running should be considered fully compromised.
www.zdnet.com www.zdnet.com
According to advisories from the npm security team, the three JavaScript libraries opened shells on the computers of developers who imported the packages into their projects.
The packages names were:
  • plutov-slack-client
  • nodetest199
  • nodetest1010
 
Kriittinen haavoittuvuus SonicWall VPN-laitteissa. Haavoittuvuus on saanut CVSS-arvokseen 9.4/10 ja tämän vuoksi päivitykset tulisi asentaa viipymättä.

www.kyberturvallisuuskeskus.fi

Kriittinen haavoittuvuus SonicWall VPN-laitteissa | Kyberturvallisuuskeskus

Haavoittuvuus (CVE-2020-5135) altistaa SonicOS-käyttöjärjestelmän palvelunestohyökkäykselle puskuriylivuodon ja mahdollisen mielivaltaisen ohjelmakoodin suorittamisen avulla.
www.kyberturvallisuuskeskus.fi www.kyberturvallisuuskeskus.fi
 
www.is.fi

Kiristäjä julkaisi suomalaisten arkaluontoisia terapiakeskusteluja – vaatii 450 000:ta euroa tai jatkoa seuraa

Psykoterapiakeskus Vastaamon tietomurrossa on vuotanut ilmeisesti kymmenien tuhansien ihmisten arkaluontoisia tietoja.
www.is.fi www.is.fi

www.tivi.fi

Psykoterapiakeskus Vastaamon arkaluontoiset potilastiedot hakkeroitiin – hakkeri kiristi vaatimalla bitcoineja

"Pahoittelemme syvästi asiaa asiakkaillemme ja olemme käynnistäneet yhteistyön viranomaisten kanssa asian selvittämiseksi", hallituksen puheenjohtaja Tuomas Kahri kertoo.
www.tivi.fi www.tivi.fi

Todella ikävä keissi asiakkaiden kannalta. Missähän kunnossa tuolla on ollut tietoturva. Luulisi, että potilastiedot olisi hyvin suojattu.
 
Viimeksi muokattu:
Desgorr sanoi:
www.tivi.fi

Psykoterapiakeskus Vastaamon arkaluontoiset potilastiedot hakkeroitiin – hakkeri kiristi vaatimalla bitcoineja

"Pahoittelemme syvästi asiaa asiakkaillemme ja olemme käynnistäneet yhteistyön viranomaisten kanssa asian selvittämiseksi", hallituksen puheenjohtaja Tuomas Kahri kertoo.
www.tivi.fi www.tivi.fi

Todella ikävä keissi asiakkaiden kannalta. Missähän kunnossa tuolla on ollut tietoturva. Luulisi, että potilastiedot olisi hyvin suojattu.
Napsauta laajentaaksesi...

Kyse ehkä jostain vanhasta huonommin suojatusta kannasta kun ainoastaan ennen marraskuu 2018 kirjatut tiedot vuotaneet.

Sisällöltään ehkä pahin mahdollinen tietovuoto jos terapiakeskustelut oikeasti vuotaa, siinä on terveystiedot pientä verrattuna asioihin mitä terapeutin kanssa saatetaan keskustella. Voi olla yksittäisen ihmisen elämälle aika musertava lopputulos.

Kovasti toivoisin että huonon tietoturvan toteutus kriminalisoitaisiin jotenkin, nykyisellään ei ole mitään keppiä tarjolla kun GDPR taitaa olla aika hampaaton näiden kanssa.
 
Lars_A sanoi:
Kovasti toivoisin että huonon tietoturvan toteutus kriminalisoitaisiin jotenkin, nykyisellään ei ole mitään keppiä tarjolla kun GDPR taitaa olla aika hampaaton näiden kanssa.
Napsauta laajentaaksesi...
Minusta tämä olisi todella tärkeä nykyisessä digitaalisessa yhteiskunnassa. Pitäisi olla vaatimuksia ja koska ne eivät yksin riitä pitäisi myös olla santiomahdollisuuksia.
 
Mac Big Surissa ei nähtävästi pysty enää estämään käyttöjärjestelmän omaa eikä Apple sovellusten verkkoliikennettä softapalomuurilla
 
Algron28 sanoi:
Minusta tämä olisi todella tärkeä nykyisessä digitaalisessa yhteiskunnassa. Pitäisi olla vaatimuksia ja koska ne eivät yksin riitä pitäisi myös olla santiomahdollisuuksia.
Napsauta laajentaaksesi...

Jos tietoturvaa ei ole hoidettu GDPR:n vaatimalla tavalla niin silloin on mahdollista että tietoturvaviranomainen langettaa sakkoja.
 
Agent_007 sanoi:
Mac Big Surissa ei nähtävästi pysty enää estämään käyttöjärjestelmän omaa eikä Apple sovellusten verkkoliikennettä softapalomuurilla
Napsauta laajentaaksesi...

AdGuard for Mac softassa kanssa tuohon liittyvää.
adguard.com

AdGuard v2.5 for Mac — Big Sur compatibility improved

AdGuard v2.5 for Mac version is specifically designed to cooperate seamlessly with the new macOS 11 (Big Sur). We have resolved many compatibility problems and added new gorgeous app icons that suit new OS style.
adguard.com adguard.com
 
Viimeksi muokattu:
Nämä tietoturvauhat on siitä huonoja, että päättävät ihmiset eivät pidä niitä vakavana uhkana ja resursseja pitäisi asettaa etukäteen. Tai sitten löytyy niitä näkemyksiä, että "korjataan sitten kun menee rikki" ikään kuin olisi kellarissa joku laatikko nimeltään internet, joka käydään korjaamassa tarpeen vaatiessa. Vähän kun ei antaisi pelastuslaitokselle rahaa, kun naapurustossa ei ole palanut vuosikausiin. Toisaalta harmillista on, että uhria vastaavasti sitten ruoskitaan, mutta itse rikollinen saa melkeinpä pään silittelyä.
 
Vastaamon tietojen pöllijä haluaa 450k lunnaita, muuten vuotaa 100 potilaan tiedot/vrk tor:ssa joka päivä. Nyt jo 200:n tiedot jaossa. Potilastietoja yhteensä kulemma 40k. Aika setti...
 
Ihmemies sanoi:
Vastaamon tietojen pöllijä haluaa 450k lunnaita, muuten vuotaa 100 potilaan tiedot/vrk tor:ssa joka päivä. Nyt jo 200:n tiedot jaossa. Potilastietoja yhteensä kulemma 40k. Aika setti...
Napsauta laajentaaksesi...

Oksettavaa, täysin moraalitonta, se että näiden ihmisten vaikeat, kipeät keskustelut sekä yksityiskohdat tulevat "kaiken kansan keskuuteen" on niin kuvottavaa touhua että ihan pahaa tekee näiden ihmisten puolesta.

Kaiken lisäksi tässä on vielä lisäpelkona että toisetkin tahot käyttäisivät näitä tietoja kiristämiseen.
 
Ihmemies sanoi:
Vastaamon tietojen pöllijä haluaa 450k lunnaita, muuten vuotaa 100 potilaan tiedot/vrk tor:ssa joka päivä. Nyt jo 200:n tiedot jaossa. Potilastietoja yhteensä kulemma 40k. Aika setti...
Napsauta laajentaaksesi...
Oliko se ihan tarkasti 100 potilasta per vrk. Vai 100 potilastietoa per vrk eli siellä voi olla samalta henkilöltä useampia tietoja.
 
yle.fi

Psykoterapiakeskus Vastaamon kiristäjä julkaisi yöllä lisää erittäin arkaluontoisia potilaskertomuksia

Potilastiedoissa kerrotaan henkilötietoja ja hyvin intiimejä tietoja asiakkaiden elämäntilanteista ja mielenterveyden ongelmista.
yle.fi yle.fi

Psykoterapiakeskus Vastaamoa kiristävä henkilö on julkaissut yöllä Tor-verkossa lisää varastamiaan potilastietoja. Potilastiedoista ilmenee Vastaamon asiakkaiden nimet, osoitteet, henkilötunnukset ja potilaskertomukset.

Tuntematon kiristäjä on julkaissut myös viestejä, joiden hän antaa ymmärtää olevan Vastaamon edustajan ja hänen välisiään. Viestien perusteella kiristäjä vaatii Vastaamolta 40 bitcoinin lunnaita, jotta hän lopettaa tietojen julkaisun. Vaadittu verkkovaluuttasumma vastaa noin 450 000 euroa.

Kiristäjä uhkasi julkaista sata potilastietoa päivässä, jos hänen vaatimuksiinsa ei suostuta. Viime yönä hän julkaisi toiset sata, ja nyt julkaistujen potilastietojen määrä on yhteensä vähän yli 200.

Mikä sitten on potilastieto? Käsitin että kaikki potilaan tiedot mitä em. firmalla on kyseisestä ihmisestä x 100 ihmistä.
 
Mielenkiintoinen hyökkäys kehitetty, jonka avulla pystyy ohittamaan NAT/palomuurin, eli hyökkääjä pystyy avaamaan minkä tahansa portin avoimeen palveluun halutessaan kunhan uhri vain käy web sivulla jossa exploit koodi!

samy.pl

Samy Kamkar - NAT Slipstreaming v2.0

exploit NAT/firewalls to access TCP/UDP services bound to any system behind victim's NAT
samy.pl
NAT Slipstreaming allows an attacker to remotely access any TCP/UDP services bound to a victim machine, bypassing the victim's NAT/firewall (arbitrary firewall pinhole control), just by the victim visiting a website.

NAT Slipstreaming exploits the user's browser in conjunction with the Application Level Gateway (ALG) connection tracking mechanism built into NATs, routers, and firewalls by chaining internal IP extraction via timing attack or WebRTC, automated remote MTU and IP fragmentation discovery, TCP packet size massaging, TURN authentication misuse, precise packet boundary control, and protocol confusion through browser abuse. As it's the NAT or firewall that opens the destination port, this bypasses any browser-based port restrictions.

This attack requires the NAT/firewall to support ALG (Application Level Gateways), which are mandatory for protocols that can use multiple ports (control channel + data channel) such as SIP and H323 (VoIP protocols), FTP, IRC DCC, etc.
 
Uutinen liittyen Googlen Youtube palveluun, en itsekään tiennyt että tälläinen systeemi on tulossa, eli tulevaisuudessa saattaa Youtube pyytää käyttäjää tunnistautumaan (onko täysikäinen), joko henkkarit antamalla taikka luottokortti tiedoilla. Tarkempaa tietoa, että kuuluuko Suomikin tuohon ei tietenkään ole, mutta ihan vaan tiedoksi:
blog.youtube

Using technology to more consistently apply age restrictions

Today, we’re announcing a continuation of these efforts to live up to our regulatory obligations around the world and to provide age-appropriate experiences when people come to YouTube.
blog.youtube blog.youtube

Expanding Age-verification in Europe

In line with upcoming regulations, like the European Union’s Audiovisual Media Services Directive (AVMSD), we will also be introducing a new age verification step over the next few months. As part of this process some European users may be asked to provide additional proof of age when attempting to watch mature content. If our systems are unable to establish that a viewer is above the age of 18, we will request that they provide a valid ID or credit card to verify their age. We’ve built our age-verification process in keeping with Google’s Privacy and Security Principles.
 
=JP= sanoi:
Uutinen liittyen Googlen Youtube palveluun, en itsekään tiennyt että tälläinen systeemi on tulossa, eli tulevaisuudessa saattaa Youtube pyytää käyttäjää tunnistautumaan (onko täysikäinen), joko henkkarit antamalla taikka luottokortti tiedoilla. Tarkempaa tietoa, että kuuluuko Suomikin tuohon ei tietenkään ole, mutta ihan vaan tiedoksi:
blog.youtube

Using technology to more consistently apply age restrictions

Today, we’re announcing a continuation of these efforts to live up to our regulatory obligations around the world and to provide age-appropriate experiences when people come to YouTube.
blog.youtube blog.youtube

Expanding Age-verification in Europe

In line with upcoming regulations, like the European Union’s Audiovisual Media Services Directive (AVMSD), we will also be introducing a new age verification step over the next few months. As part of this process some European users may be asked to provide additional proof of age when attempting to watch mature content. If our systems are unable to establish that a viewer is above the age of 18, we will request that they provide a valid ID or credit card to verify their age. We’ve built our age-verification process in keeping with Google’s Privacy and Security Principles.
Napsauta laajentaaksesi...

Youtuben käyttö jää kyllä pois miltei kokonaan, samoin kuin Googlen on jo jäänyt, jos joka videoon täytyy kirjautua ja lisäksi tunnistautua.
 
Apple korjasi viime viikolla aikaistetun päivitysaikataulun mukaisesti kolme 0-päivähaavoittuvuutta (eng. zero day).
www.kyberturvallisuuskeskus.fi

Apple julkaisi korjaavia kriittisiä päivityksiä iOS-laitteiden 0-päivähaavoihin | Kyberturvallisuuskeskus

Uusia ja kriittisiä päivityksiä Applen iOS-laitteissa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla
www.kyberturvallisuuskeskus.fi www.kyberturvallisuuskeskus.fi

Nuo samat haavoittuvuudet taitaa löytyä macOS ja watchOS käyttiksistä ja niihin on kanssa julkaistu päivitykset.

Apple security releases - Apple Support

This document lists security updates and Rapid Security Responses for Apple software.
support.apple.com support.apple.com
 
Energiankulutusta seuraamalla päästy salaisuuksiin. Päivitykset jakelussa.

--------------------------

PLATYPUS: With Great Power comes Great Leakage

platypusattack.com platypusattack.com

CVE-2020-8694 and CVE-2020-8695 are the official references to PLATYPUS

With PLATYPUS, we present novel software-based power side-channel attacks on Intel server, desktop and laptop CPUs. We exploit the unprivileged access to the Intel RAPL interface exposing the processor's power consumption to infer data and extract cryptographic keys.

PLATYPUS can further infer intra-cacheline control flow of applications, break KASLR, leak AES-NI keys from Intel SGX enclaves and the Linux kernel, and establish a timing-independent covert channel.
Napsauta laajentaaksesi...

Intel provides a list with all affected products here.
We disclosed the problem to AMD and ARM as well. However, currently, we are not aware of any official statement regarding affected products from these vendors.


On Linux, the powercap framework provides unprivileged access to Intel RAPL by default. On Windows and macOS, the Intel Power Gadget needs to be installed. Therefore, the presented attacks exploiting the unprivileged access only work on Linux.
For a privileged attacker targeting Intel SGX, the operating system used does not matter.
Napsauta laajentaaksesi...

-----
www.intel.com

INTEL-SA-00389

INTEL-SA-00389
www.intel.com www.intel.com
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
257 541
Viestejä
4 476 078
Jäsenet
73 949
Uusin jäsen
Lue otsikko

Hinta.fi

Back
Ylös Bottom