Tietoturvauutiset ja blogipostaukset

[ztec]

Tämä "ip osoitteiden kaappaaminen" synnytti hilpeää keskustelua ja näkemyksiä siitä mikä on oikein ja mikä väärin.

The Mystery of AS8003

On January 20, 2021, a great mystery appeared in the internet’s global routing table. An entity that hadn’t been heard from in over a decade began announcing large swaths of formerly unused IPv4 address space belonging to the U.S. Department of Defense. Registered as GRS-DoD, AS8003 began...

www.kentik.com

Eli 11/8 osoitteet on nyt sitten "käytössä", kun aikaisemmin ne ovat olleet DoD:n omistamia mutta käyttämättömiä. (Edit: omistamattomia -> omistamia, typo fix)

Alkoi keskustelu siitä, kuka tekee väärin. Onko se väärin, että nyt 11/8 osoitteet on käytössä, vai onko se väärin, että monet yritykset kuulemma myös Alibaba käyttää noita osoitteita sisäverkossaan kuin ne olisivat privaatti osoitteita. Nyt kun ne on käytössä tuosta tulee ongelmia. Sinänsähän tässä osoitteiden väärinkäytössä ei ole mitään uutta ja sen pitäisi olla aika selvää, kuka tekee väärin ja kuka ei.

Vimeisenä kysymyksenä ehkä pitäisi vielä kysyä, että kuka välittää vielä IPv4 osoitteista, aika siirtyä eteenpäin on tullut jo ajat sitten.

 

[runboy93]

Mangadex vuoto (äsken vasta lisätty HaveIvebeenPwned sivustolle):

As of time (18 Apr 2021 2:00 PM UTC) of writing this post, we have positively identified the database leak in the wild, as we had feared would happen. This means that your username, email, IP address and securely hashed passwords are now potentially public knowledge. If you have not done so yet, we strongly advise that you change your credentials on any site that you may have shared with MangaDex. We are currently working with HIBP (https://haveibeenpwned.com/) to get the affected accounts added and notified, and plan to find a way to properly notify everyone affected via email.

As of now, the leak is not public and is instead being shared privately among certain groups of people who have ill intentions against MangaDex and have chosen to be complicit in the breach by keeping quiet about it, likely for unethical reasons. We do not know how many people have their hands on the data, or how long they have had it, but we expect the responsible parties to escalate the situation soon after by releasing the data publicly in some form.

We apologise for allowing this incident to happen, and we promise to do better in MangaDex v5.

EDIT #1: Your passwords are still securely hashed with bcrypt, no plaintext/visible passwords were found in the leak as of this time.

EDIT #2: Your last accessed IP may also be exposed in the database leak.

EDIT #3: For better explanation on how your passwords are stored, here's a handy dandy video that just about explains the basics:

 

[TenderBeef]

Apple's macOS Gatekeeper asleep on the job: Exploited flaw put users 'at grave risk' of malware infection

Bug that let malicious files slip past defenses now fixed in Big Sur 11.3

www.theregister.com

Apple has released macOS 11.3, fixing a serious flaw that allowed an attacker to sneak malicious files past the operating system's Gatekeeper security mechanism.

"This bug, a subtle logic flaw deep within macOS’s policy subsystem, trivially bypasses many core Apple security mechanisms, such File Quarantine, Gatekeeper, and Notarization requirements, leaving Mac users at grave risk."

 

[=JP=]

Kannattaa varalta poistaa käytöstä AirDrop Applen laitteista (ainakin julkisissa tiloissa, koskaan ei voi olla liian varovainen), koska siinä on melkonen tietoturva reikä jo vuodesta 2019, jota Apple ei ole korjannut vieläkään. Sen kautta voi saada puhelinnumeron ja sähköpostin ilman, että käyttäjä tietää asiasta mitään...

AirDrop Security Flaw Exposes 1.5 Billion Apple Devices, Researchers Say

Apple’s AirDrop feature is a convenient way to share files between the company’s devices, but security researchers from Technische Universitat Darmstadt in Germany are warning that you might be sharing personal information.

gizmodo.com

- Apple’s AirDrop feature is a convenient way to share files between the company’s devices
- it’s possible for strangers to discover the phone number and email of any nearby AirDrop user. All a bad actor needs is a device with wifi and to be physically close by.
- If you have the feature enabled, it doesn’t even require you to initiate or engage with any sharing to be at risk
- The troubling thing, in this case, is that the TU researchers say they told Apple about this privacy flaw in May 2019. That’s nearly two years ago and so far, Apple has “neither acknowledged the problem nor indicated that they are working on a solution.

 

[Tege]

Vakiona Airdrop on käytössä kaikille mutta myös vaihtoehtona on että vain omat kontaktit. Saako silti muka tiedon irti?
Edit. Mainitaankin tuossa uutisessa että juuri tuolla saadaan tieto irti kun hash ei suojaa tarpeeksi.

 

[Humanoid]

Androidissa sadat esiasennetut ohjelmat saavat oletuksena pääsyn systeemitiedostoihin, ja tätä kautta Covid-19 -seurantaan tarkoitettujen sovelluksien logit ovat olleet myös muiden luettavissa:

Covid-19 Contact Tracing on Android Is Not So Private After All

Other apps had access to your data.

gizmodo.com

 

[ojisama]

Androidissa sadat esiasennetut ohjelmat saavat oletuksena pääsyn systeemitiedostoihin, ja tätä kautta Covid-19 -seurantaan tarkoitettujen sovelluksien logit ovat olleet myös muiden luettavissa:

Covid-19 Contact Tracing on Android Is Not So Private After All

Other apps had access to your data.

gizmodo.com

Tuo Gizmodon artikkeli on lievästi sanottuna 'opionated', mutta se siinä linkattu artikkeli (alla) on ihan hyvä.

Why Google Should Stop Logging Contact-Tracing Data – The AppCensus Blog. Näyttäisi kyllä vahvasti teoreettiselta riskiltä.

 

[user9999]

Apple's macOS Gatekeeper asleep on the job: Exploited flaw put users 'at grave risk' of malware infection

Bug that let malicious files slip past defenses now fixed in Big Sur 11.3

www.theregister.com

F-Secure löytänyt kanssa gatekeeperistä bugia, joka nyt korjattu.

F-Secure R&D discovers exploitable vulnerability in Apple's macOS Gatekeeper - F-Secure Blog

F-Secure R&D has discovered a vulnerability in macOS Gatekeeper that an attacker can exploit to infect unsuspecting users with malware.

blog.f-secure.com

Aukko Applen tietoturvassa – F-Secure löysi, päivitys korjaa

Applen hiljattain julkaisemat macOS-päivitykset paikkaavat F-Securen löytämän haavoittuvuuden.

www.kauppalehti.fi

About the security content of macOS Big Sur 11.3 - Apple Support

This document describes the security content of macOS Big Sur 11.3.

support.apple.com

Lisätty jokin aika sitten.

Archive Utility
Available for: macOS Big Sur
Impact: A malicious application may bypass Gatekeeper checks
Description: A logic issue was addressed with improved state management.
CVE-2021-1810: Rasmus Sten (@pajp) of F-Secure
Entry updated on April 27, 2021

 

[user9999]

AMD ja Intel prosessoreissa haavoittuvuus. "I See Dead μops: Leaking Secrets via Intel/AMD Micro-Op Caches"

https://www.cs.virginia.edu/venkat/papers/isca2021a.pdf

New x86 vulnerability 'I See Dead µops' wipes out all known Specter protections

In early 2018 it was made official that practically all modern processors were vulnerable to a number of hardware vulnerabilities, which were called

tekdeeps.com

The problem must be a lot more difficult to fix without causing a major performance impact. An obvious solution would be to disable the micro-op-cache or speculative execution, but these innovations obviously provide big performance improvements in the vulnerable architectures. All processor architectures from Intel’s Sandy Bridge to Skylake must be vulnerable, nothing is said about Ice Lake and Rocket Lake (Cypress Cove). For AMD, the Zen architectures are problematic, it seems to cover all architectures so far.

 

[user9999]

Dell julkaisi korjaavan päivityksen vakavaan haavoittuvuuteen Windowsia käyttävissä laitteissaan. Haavoittuvuuden kerrotaan koskettavan useita satoja miljoona laitteita maailmanlaajuisesti.

Dellin Windows-laitteissa vakava haavoittuvuus | Kyberturvallisuuskeskus

Dell julkaisi korjaavan päivityksen vakavaan haavoittuvuuteen Windowsia käyttävissä laitteissaan. Haavoittuvuuden kerrotaan koskettavan useita satoja miljoona laitteita maailmanlaajuisesti.

www.kyberturvallisuuskeskus.fi

 

[=JP=]

Google meinaa nyt myöskin lisätä avoimuutta Androidissa ja näinollen lisätä yksityisyys/tietoturvaa, tuomalla Play Storeen uusia ominaisuuksia (ottaa mallia Applelta). Harmi vaan että aikataulu ei ole mitenkään nopea, eli vasta ensivuonna olisi tulossa sitten kunnolla käyttöön. Liekkö tuo edes pakollinen kehittäjille vaiko vapaaehtoinen, varmasti asiaa selvennetään myöhemmin ja asiat muuttuu...

Google is planning a big — and mandatory — overhaul of app privacy and security on the Play Store

Similar-sounding privacy details, but more and better information when it comes to your security

www.androidpolice.com

New safety section in Google Play will give transparency into how apps use data

News and insights on the Android platform, developer tools, and events.

android-developers.googleblog.com

Developers agree that people should have transparency and control over their data. And they want simple ways to communicate app safety that are easy to understand and help users to make informed choices about how their data is handled. Developers also want to give additional context to explain data use and how safety practices could affect the app experience. So in addition to the data an app collects or shares, we’re introducing new elements to highlight whether:

The app has security practices, like data encryption
The app follows our Families policy
The app needs this data to function or if users have choice in sharing it
The app’s safety section is verified by an independent third-party
The app enables users to request data deletion, if they decide to uninstall

 

[Agent_007]

Liekkö tuo edes pakollinen kehittäjille vaiko vapaaehtoinen

Tuon nykyisen suunnitelman mukaan tuo on pakko ottaa käyttöön Q2 22

https://1.bp.blogspot.com/-1PivrpxNn6o/YJQYoVutY_I/AAAAAAAAQe0/V7Z1-n1X5OMV1iwi3Sil62taO2wANAbUACLcBGAsYHQ/s0/Screen%2BShot%2B2021-05-06%2Bat%2B12.25.23%2BPM.png

 

[=JP=]

Tuon nykyisen suunnitelman mukaan tuo on pakko ottaa käyttöön Q2 22

https://1.bp.blogspot.com/-1PivrpxNn6o/YJQYoVutY_I/AAAAAAAAQe0/V7Z1-n1X5OMV1iwi3Sil62taO2wANAbUACLcBGAsYHQ/s0/Screen%2BShot%2B2021-05-06%2Bat%2B12.25.23%2BPM.png

Juuh, unohdin kiireessäni sitten lukea tuon Googlen oman blogi postauksen, niin meni vähän ohi tuo ja tosiaan on se siellä tekstissäkin selkeästi sanottuna.

We’re committed to ensuring that developers have plenty of time to prepare. This summer, we’ll share the new policy requirements and resources, including detailed guidance on app privacy policies. Starting Q2 2022, new app submissions and app updates must include this information.

Tämä on kyllä loistava uudistus/lisäys, mutta olisin vaan toivonut nopeampaa käyttöönottoa...

 

[Kimi625]

Ihmisten liikkeitä tarkastellaan pian sensoreiden avulla Helsingissä – kaikki saavat pääsyn matkapuhelinsignaaleista kerättävään liikkumisdataan

Matkapuhelindatan avulla yritetään elvyttää matkailualaa. Myös paikalliset ihmiset voivat välttää ruuhkaisia paikkoja, kun he näkevät, mihin isot ihmisjoukkiot ovat kerääntyneet.

yle.fi

En todellakaan ymmärrä tietotekniikkaa hyvin, mutta kyllä alkaa pelottaa nämä uutiset.

 

[jarhu]

Ihmisten liikkeitä tarkastellaan pian sensoreiden avulla Helsingissä – kaikki saavat pääsyn matkapuhelinsignaaleista kerättävään liikkumisdataan

Matkapuhelindatan avulla yritetään elvyttää matkailualaa. Myös paikalliset ihmiset voivat välttää ruuhkaisia paikkoja, kun he näkevät, mihin isot ihmisjoukkiot ovat kerääntyneet.

yle.fi

En todellakaan ymmärrä tietotekniikkaa hyvin, mutta kyllä alkaa pelottaa nämä uutiset.

Sitten voidaankin kertoa, että ihmisiä on seurattu (joissain) kaupoissa Suomessa tällä tavoin jo ainakin parisen kymmentä vuotta.

 

[JokuHullu]

No onneksi Hypercellin operatiivinen johtaja Sami Vepsäläinen vakuuttaa, että data on anonyymiä, koska henkilötietoja ei kerätä.

Tähän on hyvä luottaa...

 

[A Lake Elk]

Tuoltahan on toistaiseksi helppo välttyä kun kytkee bluetoothin pois päältä. Tosin silloin lakkaa myös Koronavilkku toimimasta...

 

[Desgorr]

Kyberhyökkäys polttoaineen jakeluverkkoon Yhdysvalloissa nostanee bensan hintaa, FBI nimesi hyökkääjäksi Darksiden – tämä iskusta nyt tiedetään

Kyberhyökkäys polttoaineen jakeluverkkoon Yhdysvalloissa nostanee bensan hintaa, FBI nimesi hyökkääjäksi Darksiden – tämä iskusta nyt tiedetään

Yhdysvaltain suurin jalostetun polttoaineen kuljetuslinjasto jouduttiin sulkemaan lähes kokonaan perjantaina havaitun kyberiskun vuoksi. Linjastoa operoiva yhtiö kertoo joutuneensa kiristyshaittaohjelmalla tehdyn hyökkäyksen kohteeksi.

yle.fi

 

[Infy]

Kyllä puhelimia on seurattu jo ennestään:

• Teleoperaatoreista ainakin Telia myy Suomessa puhelinkäyttäjien anonymisoitua sijaintitietoja massoittain, Telia myy asiakkaidensa sijaintitietoja
• Android puhelimissa on luonnollisesti sijaintietojen lähetys Googlelle, jos sijainti/GPS on käytössä (A-GPS, GPS sijaintitiedot paritettuna Wi-Fi verkon ja tukiaseman kanssa, Assisted GNSS - Wikipedia). Sitten erikseen Androidin Find My Device ja Googlen Location Sharing ja mahdolliset puhelin valmistajan omat vastaavat palvelut ainakin Samsung ja Huawei semmoset tarjoaa.
• Kaikki Applen laitteet taas ovat mukana jälijittämässä toisiaan ja raportit kantaman sisällä olevat laitteet. AirTagit perustuvat tähän seurantaverkkoon. Find My - Wikipedia

 

[mikajh]

A-GPS, GPS sijaintitiedot paritettuna Wi-Fi verkon ja tukiaseman kanssa, Assisted GNSS - Wikipedia

En oikein tiedä mitä yrität sanoa, mutta A-GPS:llä ei ole mitään suoranaista tekemistä Wifin tai wifi-paikannuksen kanssa. Wifiä voidaan käyttää internet-yhteytenä tiedonsiirtoa varten, siinä kaikki

 

[Agent_007]

En oikein tiedä mitä yrität sanoa, mutta A-GPS:llä ei ole mitään suoranaista tekemistä Wifin tai wifi-paikannuksen kanssa. Wifiä voidaan käyttää internet-yhteytenä tiedonsiirtoa varten, siinä kaikki

Varmaankin tarkoitettu
"Since more and more places are covered by WiFi access points, we can use WiFi localisation to create a new sort of Assisted-GPS. This WiFi-Assisted-GPS can reduce a number of disadvantages of GPS, such as the long Time To First Fix and positioning when not enough satellites are visible. To minimize the initialisation and the training of the WiFi-positioning a self mapping system is needed. With an accuracy of 50 meters, the WiFi system should be sufficient to integrate it to a WiFi-A-GPS system and to use the WiFi positioning system for other context-aware applications."

(PDF) A Wi-Fi Assisted GPS Positioning Concept

PDF | The need for context aware services will raise during the next years. Ubiquitous global navigation is still not feasible in urban and indoor... | Find, read and cite all the research you need on ResearchGate

www.researchgate.net

 

[Infy]

Kun laitat Android luuristasi paikannuksen päälle tapahtuu seuraavaa:
Luuri haistelee kantaman sisällä olevat Wi-Fi verkkojen nimet (SSID) ja mobiilitukiaseman tunnisteet. Se lähettää ne paritettuna GPS-koordinaateillasi Googlen hellään huomaan. Tämä siksi että kylmiltään GPS sijainnin selvittämin vie minuutin pari. Kun luuri saa Googlelta karkean sijainnin selville suoraan Wi-Fi verkkojen ja mobiilitukiaseman perusteella, niin tarkka GPS sijainti onnistuu seknunnissa parissa. Ja tämän ominaisuuden nimi on Assisted GPS. Applella on luonnollisesti vastaava mekanismi iPhoneissa.

 

[mikajh]

Se lähettää ne paritettuna GPS-koordinaateillasi Googlen hellään huomaan.

A-GPS:ssä esim. puhelin saa valmistajan kautta säännöllisesti valmiiksi prosessoitua tietoa, mitä se joutuisi itse keräämään cold startissa pitkän aikaa kuuntelemalla satelliittien signaaleja. Siinä on myös ratamalleja lähitulevaisuuten, joiden avulla voidaan korjata paikannukseen vaikuttavia virheitä. Tällä on erittäin suuri merkitys esimerkiksi sisätiloissa, jonne vain harvat satelliitit kuuluvat ja harvoin.

Kaksi pientä, joskin erittäin tärkeää lisätietoa ovat tarkka kellonaika ja mahdollisimman hyvä arvaus nykyisestä sijainnista.

 

[escalibur]

Jälleen yksi osoitus siitä miksi verkkolaitteiden softatuen pitäisi olla voimassa:

Haavoittuvuuksista kolme liittyy Wi-Fi-standardin suunnitteluvirheisiin ja ne koskevat suurinta osaa Wi-Fi-laitteita. Tutkijoiden mukaan jokainen Wi-Fi-laite on haavoittuva vähintään yhdelle FragAttacks-haavoittuvuuksista.

Wi-Fi-laitteiden toteutuksista on löytynyt haavoittuvuuksia | Kyberturvallisuuskeskus

ICASI (Industry Consortium for Advancement of Security on the Internet) julkaisi 11.5. 12 erilaista haavoittuvuutta 802.11-standardissa, jotka mahdollistavat hyökkääjälle mm. salattujen kehyksien väärentämisen avulla tietojen hankkimisen kohteesta.

www.kyberturvallisuuskeskus.fi

FragAttacks: Security flaws in all Wi-Fi devices

We present three security design flaws in Wi-Fi and widepread implementation flaws. These can be abused to exfiltrate user data and attack local devices.

www.fragattacks.com

 

[user9999]

Jälleen yksi osoitus siitä miksi verkkolaitteiden softatuen pitäisi olla voimassa:

Wi-Fi-laitteiden toteutuksista on löytynyt haavoittuvuuksia | Kyberturvallisuuskeskus

ICASI (Industry Consortium for Advancement of Security on the Internet) julkaisi 11.5. 12 erilaista haavoittuvuutta 802.11-standardissa, jotka mahdollistavat hyökkääjälle mm. salattujen kehyksien väärentämisen avulla tietojen hankkimisen kohteesta.

www.kyberturvallisuuskeskus.fi

FragAttacks: Security flaws in all Wi-Fi devices

We present three security design flaws in Wi-Fi and widepread implementation flaws. These can be abused to exfiltrate user data and attack local devices.

www.fragattacks.com

Itsellä ZyXel purkki niin tuosta on näköjään tiedote.

Zyxel security advisory for FragAttacks against WiFi products | Zyxel

Zyxel is aware of the FRagmentation and AGgregation Attacks against WiFi vulnerability (dubbed “FragAttacks”) and is releasing patches for some vulnerable WiFi products. Users are advised to adopt the applicable firmware updates or follow the advice below for optimal protection.

www.zyxel.com

Aikataulua pätseille.

Zyxel security advisory for FragAttacks against WiFi products | Zyxel

Zyxel is aware of the FRagmentation and AGgregation Attacks against WiFi vulnerability (dubbed “FragAttacks”) and is releasing patches for some vulnerable WiFi products. Users are advised to adopt the applicable firmware updates or follow the advice below for optimal protection.

www.zyxel.com

 

[user9999]

SmallNetBuilder forumilla keskustelua noista FragAttacks haavoittuvuuksista.
OpenWRT (on master) has already patched the issue for open source ath9k, ath10k, and ath11k drivers and the rest of the mac80211 stack as of May 12th.

News - FragAttacks - implications in reality?

Hi there, with my limited understanding, it looks like a spectre / meltdown like security issue has hit wifi in general https://www.fragattacks.com/ It is not very soothing that it can be onyl exploited within physical reach, since this in my opinion lies wihtin the nature of wifi...

www.snbforums.com

 

[ztec]

Avulla voidaan korjata paikannukseen vaikuttavia virheitä. Tällä on erittäin suuri merkitys esimerkiksi sisätiloissa, jonne vain harvat satelliitit kuuluvat ja harvoin.

Kaksi pientä, joskin erittäin tärkeää lisätietoa ovat tarkka kellonaika ja mahdollisimman hyvä arvaus nykyisestä sijainnista.

Tuohon voidaan vielä tuoda paikannukseen vaikuttavat avustavat referenssi-tiedot avuksi (EGNOS / SBAS), jota varten vaaditaan juuri data yhteys (wifi tai mobiili-data). Tuon on laajasti liikkuville laitteille tarpeellinen juttu. Jos taas on kyseessä laitteet jotka eivät liiku kovin kauas, niin tuo staattinen korjaus-referenssi voidaan tietenkin toteuttaa paikallisesti sopivalla laitteistolla. Mielestäni olen näitä joskus silloin tällöin nähnyt kytettävän. Edelleen parantaa paikannuksen tarkkuutta merkittävästi.

Edit. Vielä vaan jatkokommenttina, että ilmeisesti ei ollutkaan lankaa mihin tämä olisi sopinut paremmin johon olisi voinut viitata. Pitäsikö luoda vielä paikannukselle oma keskustelu? Satelliitti netille oli jo.

 

[user9999]

Asus näköjään paikannu FragAttacks haavoittuvuutta. ROG malleja ja tuo Wifi 6E GT-AXE11000 malli paikattu jo maaliskuussa.

ROG Rapture GT-AC5300 | ROG Rapture GT-AC5300 | Gaming Routers｜ROG - Republic of Gamers｜ROG USA

A powerful yet easy managing VR ready gaming Wi-Fi router. Best solution for PS4, Xbox and PC gaming. Supporting tri-band 802.11AC. Providing speed up to 5300 Mbps.

rog.asus.com

ROG Rapture GT-AXE11000 | Routers | ROG United States

Tri-Band Wifi 6E Gaming Router, Latest WiFi Standard, 6GHz Band, 10 Gigabit, 2.5G Gaming Port, VPN, Network Security, Mesh WiFi System, WiFi Coverage

rog.asus.com

- Fixed the fragattacks vulnerability.

 

[Pah0lain3]

Asus näköjään paikannu FragAttacks haavoittuvuutta. ROG malleja ja tuo Wifi 6E GT-AXE11000 malli paikattu jo maaliskuussa.

ROG Rapture GT-AC5300 | ROG Rapture GT-AC5300 | Gaming Routers｜ROG - Republic of Gamers｜ROG USA

A powerful yet easy managing VR ready gaming Wi-Fi router. Best solution for PS4, Xbox and PC gaming. Supporting tri-band 802.11AC. Providing speed up to 5300 Mbps.

rog.asus.com

ROG Rapture GT-AXE11000 | Routers | ROG United States

Tri-Band Wifi 6E Gaming Router, Latest WiFi Standard, 6GHz Band, 10 Gigabit, 2.5G Gaming Port, VPN, Network Security, Mesh WiFi System, WiFi Coverage

rog.asus.com

- Fixed the fragattacks vulnerability.

Itse päätin vihdoin ostaa tuommoisen wifi6 tplinkin missä on myös wpa3 salaus. Heti sitten tietenkin löytyi tuommoinen fragattack enkä ole löytänyt tplinkin sivuilta vielä mitään päivitystä tuohon. No, kai se joskus tulee.

Oli tässä ihan kysymyskin. Jostain uutisesta luin eilen että suomessa on nyt tämän kuun yleisin haittaohjelma nimeltä Growtopia. Kun en mistään taas löytäny lisää tietoa, eikä kaikkia linkkejä edes huvita avata, mutta onko tuo growtopia haittaohjelma se peli vai pelkästään saman niminen eri haittaohjelma ?

 

[user9999]

Itse päätin vihdoin ostaa tuommoisen wifi6 tplinkin missä on myös wpa3 salaus. Heti sitten tietenkin löytyi tuommoinen fragattack enkä ole löytänyt tplinkin sivuilta vielä mitään päivitystä tuohon. No, kai se joskus tulee.

Kyllä TP-Link tuota näköjään paikkailee. Löytyi tuollainen Archer AX10, jossa "Fixed the FragAttacks vulnerabilities" ja firmis tullut 14.5.2021.

Download for Archer AX10 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Kannattaa seurata oman laitteen päivityksiä. Laitteita on noilla valmistajilla paljon niin päivitykset ei tule kaikkiin laitteisiin samaan aikaan.

Edit: RMerlin odottelee Asukselta paikkauksia.

News - FragAttacks - implications in reality?

Apple is usually pretty good about disclosing security fixes in their updates... The advantage Apple has is that they're vertically integrated on both HW and SW, so they can roll these out quickly... What I meant was when they need to not disclose like with spector etc they kept quite untill...

www.snbforums.com

 

[Pah0lain3]

Kyllä TP-Link tuota näköjään paikkailee. Löytyi tuollainen Archer AX10, jossa "Fixed the FragAttacks vulnerabilities" ja firmis tullut 14.5.2021.

Download for Archer AX10 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Kannattaa seurata oman laitteen päivityksiä. Laitteita on noilla valmistajilla paljon niin päivitykset ei tule kaikkiin laitteisiin samaan aikaan.

Edit: RMerlin odottelee Asukselta paikkauksia.

News - FragAttacks - implications in reality?

Apple is usually pretty good about disclosing security fixes in their updates... The advantage Apple has is that they're vertically integrated on both HW and SW, so they can roll these out quickly... What I meant was when they need to not disclose like with spector etc they kept quite untill...

www.snbforums.com

Tuo oman laitteen malli on tp-linkin ax1500 wifi6, ja aika etevä GUI tuossa kun voi sieltä tarkistaa ja ladata/asentaa päivitykset. Uusin on sisässä eikä myöskään tp-linkin sivuilta tuolle mallille löydy vielä ainakaan uutta tai sitä missä tuo fragattack olisi korjattu. Sitä odotellessa ja eiköhän se sieltä vielä tule kun melko uus laite kuitenkin.

Download for Archer AX1500 | TP-Link Finland

TP Link - Download Center Detail

www.tp-link.com

Tuossa on tuo tp-linkin support sivu tuolle ax1500 malliin.

Asiasta taas toiseen, onko kellään tuosta growtopia haitakkeesta lisää tietoa ?

Tässä huhtikuun yleisimmät haittaohjelmat – Agent Tesla -troijalainen yleistyi maailmalla

Tietoturvayhtiö Check Point Software Technologiestin tutkimusyksikön tutkijat ovat julkaisseet katsauksen huhtikuun yleisimpiin haittaohjelmiin. Check

mobiili.fi

Suomen yleisimmät haittaohjelmat huhtikuussa 2021

1. Growtopia – Esiintyvyys 4,56 %. Mikä ihme tuo on ? Se peli vai samanniminen sattumalta oleva haittaohjelma ?

 

[user9999]

Tuo malli on tp-linkin ax1500 wifi6 routeri, kätevä GUI tuossa kun voi sieltä tarkistaa ja ladata/asentaa päivitykset. Uusin on sisässä eikä myöskään tp-linkin sivuilta tuolle mallille löydy vielä ainakaan uutta tai sitä missä tuo fragattack olisi korjattu. Sitä odotellessa.

Onko sulla tuo V1 ( Archer AX1500 V1)?
Archer AX1500 V1.20 versio on jo paikattu eilen.

Download for Archer AX1500 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Näyttäisi, että myös V1 malliin löytyy päivitys eli päivitetty eilen. (USA sivu)

Download for Archer AX1500 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Voi odotella, että päivitys tulee ladattavaksi suoraan GUI:n kautta niin löytyy myös GUI:sta muut kielet.

 

[Pah0lain3]

Onko sulla tuo V1 ( Archer AX1500 V1)?
Archer AX1500 V1.20 versio on jo paikattu eilen.

Download for Archer AX1500 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Näyttäisi, että myös V1 malliin löytyy päivitys eli päivitetty eilen. (USA sivu)

Download for Archer AX1500 | TP-Link

TP Link - Download Center Detail

www.tp-link.com

Voi odotella, että päivitys tulee ladattavaksi suoraan GUI:n kautta niin löytyy myös GUI:sta muut kielet.

Joo kyllä, V1 on tuo. Ennen vanhemmilla laitteilla (tp-link) tuo meni vielä niin hassusti että vanhemmissa laitteissa ei kelvannut USA tai muut, vaan firmis kelpasi vain jos oli EU alueen firmis tai jotain tuon tapaista en nyt tarkalleen muista. Siksi tässä odottelen nyt rauhassa että tulis Gui:lla ladattavaksi, niin ei sitten söhli väärän firmiksen kanssa

Mutta katoppas vain, kyllä se on sieltä sitten tulossa ihan näillä hetkillä niinkuin tuo löytämäsi USA linkki antaa kyllä ymmärtää. Hyvä näin, kiitos @user9999

 

[user9999]

Päivityksiä Applen laitteisiin.
Nollapäivähaavoittuvuutta TCC (Transparency, Consent and Control) -rajapinnassa (CVE-2021-30713) on jo mahdollisesti käytetty hyväksi tutkijoiden mukaan macOS Big Sur -versiossa.

Apple korjasi haavoittuvuuksia laitteissaan - päivitä heti | Kyberturvallisuuskeskus

Korjatut haavoittuvuudet koskevat useita eri Applen laitteita. Apple julkaisi laitteille päivitykset, joten ne on syytä asentaa viipymättä.

www.kyberturvallisuuskeskus.fi

Zero-Day TCC bypass discovered in XCSSET malware

Zero-day exploits TCC protection by allowing XCSSET malware to bypass user authorization through piggy-backing from previously approved applications.

www.jamf.com

 

[user9999]

VMwarella kriittisiä haavoittuvuuksia seuraavissa tuotteissa

• VMware vCenter Server (vCenter Server)
• VMware Cloud Foundation (Cloud Foundation)

VMware warns of critical bug affecting all vCenter Server installs

VMware urges customers to patch a critical remote code execution (RCE) vulnerability in the Virtual SAN Health Check plug-in and impacting all vCenter Server deployments.

www.bleepingcomputer.com

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

 

[ztec]

Salatun sähköpstipalvelun Tutanota:n pitäisi tarkkailla sähköposteja, päätti oikeus. Eipä sinänsä kovin yllättävää, mielenkiintoista nähdä miten tuossa käy:

Court rules encrypted email provider Tutanota must monitor messages in blackmail case

The Federal Court of Justice (BGH) in Germany has ruled that Tutanota must monitor messages of accounts implicated in a blackmail case.

www.cyberscoop.com

Silloin kun asiat on oikein hoidettu, niin ne ei pysty. Jos pystyy, on jossain tehty jotain todella väärin.

 

[=JP=]

Voi kun saisivat tästä tiukan lakipykälän, joka pakottaisi tuohon suoraan...

Manufacturers urged to remove pre-installed apps on new phones

As the EU debates its Digital Markets Act, calls have grown louder for manufacturers to remove all applications pre-installed on new phones in order to combat the oligopoly of "gatekeepers" such as Google, Apple, Facebook, Amazon and Microsoft. EURACTIV France reports.

www.euractiv.com

As the EU debates its Digital Markets Act, calls have grown louder for manufacturers to remove all applications pre-installed on new phones in order to combat the oligopoly of “gatekeepers” such as Google, Apple, Facebook, Amazon and Microsoft.

Toivottavasti kuitenkin on menossa läpi tuo pykälä, että valmistajien on pakko mahdollistaa käyttäjien edes poistaa itse kaikki esiasennetut ohjelmat! Tietenkin suurin osa peruskäyttäjistä varmaan edelleen jatkaa laitteen mukana tulleiden sovellusten käyttöä, mutta ne jotka ovat tietoisia yksityisyydestään enemmän, tuo mahdollistaisi poistamisen helpommin.
Section 6 of the forthcoming Digital Markets Act (DMA), which “allows end-users to uninstall any pre-installed software application […] without prejudice” still leaves scope for pre-installed apps on new phones.

 

[=JP=]

Amazon taas keksinyt melkosen idean ja aktivoi tuon automaattisesti kaikille kysymättä kaikenlisäksi, eli käyttäjien pitää käydä itse manuaalisesti laittamassa pois päältä ja arvata voi kuinka moni sen jaksaa tehdä nykypäivänä. Tällä hetkellä kuitenkin vain USAssa tulee käyttöön, mutta mistä sitä tietää jos sattuu käytössä olemaan USA Amazon tili jonkin syyn takia, niin meneekö päälle muuallakin maailmassa, eli kannattanee varalta tarkistaa tuo, jos sattuu käyttämään noita laitteita (Alexa, Echo, Ring, security cams, outdoor lights, motion sensors, and Tile trackers).

Amazon devices will soon automatically share your Internet with neighbors

Amazon's experimental wireless mesh networking turns users into guinea pigs.

arstechnica.com

If you use Alexa, Echo, or any other Amazon device, you have only 10 days to opt out of an experiment that leaves your personal privacy and security hanging in the balance.
On June 8, the merchant, Web host, and entertainment behemoth will automatically enroll the devices in Amazon Sidewalk. The new wireless mesh service will share a small slice of your Internet bandwidth with nearby neighbors who don’t have connectivity and help you to their bandwidth when you don’t have a connection.

Mutta onhan tuo loppupeleissä melkonen veto kyllä firmalta, aktivoida käyttäjiltä kyselemättä ominaisuus, jossa aletaan jakamaan heidän nettiä "vapaasti" ulkopuolisten Sidewalk laitteiden kanssa...

Lisätietoa käytetystä tekniikasta löytyy:

Amazon.com: Amazon Sidewalk: Amazon Devices & Accessories

Online shopping for Amazon Sidewalk from a great selection at Amazon Devices & Accessories Store.

www.amazon.com

White paper, jossa syvemmin tietoa sitä haluaville:

Amazon Sidewalk Privacy and Security Whitepaper - Amazon Customer Service

 

[Tege]

Eli nuo laitteet muodostavat mesh verkon johon voi joku laite liittyä? Vai ulkopuolinen esim. kännykällä?

 

[Sulava]

Mutta onhan tuo loppupeleissä melkonen veto kyllä firmalta, aktivoida käyttäjiltä kyselemättä ominaisuus, jossa aletaan jakamaan heidän nettiä vapaasti...

Kuulostaa pahalta, kunnes lukee miten tuo käytännössä toimii. Kyse ei ole mistään avoimesta WLANista, vaan mm. bluetoothin kautta toimivasta hitaasta verkosta, johon ei voi yhdistää kuin Amazonin omat laitteet. Kaistaa vie maksimissaan 80Kbps ja korkeintaan 500MB/kk.

Whitepaperia pikaisesti läpi selaamalla sain kuvan, että liikenne ohjautuisi suoraan Amazonille. Eli vaikka joku onnistuisi tuohon yhdistämään, niin ei sieltä pitäisi päästä kenekään naapurin warettamaan tai tekemään mitään muutakaan.

How will Amazon Sidewalk impact my personal wireless bandwidth and data usage?
The maximum bandwidth of a Sidewalk Bridge to the Sidewalk server is 80Kbps, which is about 1/40th of the bandwidth used to stream a typical high definition video. Today, when you share your Bridge’s connection with Sidewalk, total monthly data used by Sidewalk, per account, is capped at 500MB, which is equivalent to streaming about 10 minutes of high definition video.

What types of devices can connect to Amazon Sidewalk?
Only devices authorized by Amazon to use Sidewalk’s low-bandwidth connections are allowed to connect to Amazon Sidewalk.

Why should I participate in Amazon Sidewalk?
Amazon Sidewalk helps your devices get connected and stay connected. For example, if your Echo device loses its wifi connection, Sidewalk can simplify reconnecting to your router. For select Ring devices, you can continue to receive motion alerts from your Ring Security Cams and customer support can still troubleshoot problems even if your devices lose their wifi connection. Sidewalk can also extend the working range for your Sidewalk-enabled devices, such as Ring smart lights, pet locators or smart locks, so they can stay connected and continue to work over longer distances. Amazon does not charge any fees to join Sidewalk.

Disabloisin toki omista laitteistani, mutta en näe kovin suurta ongelmaa yksityisyyden suhteen. Isoin riski lienee mahdollisissa haavoittuvuuksissa, mutta nuo IoT laitteet on niitä muutenkin täynnä.

 

[=JP=]

Noniin, ny sitten tuli meikäläisen Youtube tilille pyyntö vahvistaa ikä, eli pitäisi alkaa lähettelee Googlelle kuvia passista tai muuta paskaa, ei helvetti soikoon. Eli varoituksen sana, että voipi napsahtaa kelle vaan! Tuohon en todellakaan suostu, joten pitääköhän siirtyä käyttämään Invidious kautta tuotakin paskaa. Noh, vähenee seuranta tuon myötä sentään...

Using technology to more consistently apply age restrictions

Today, we’re announcing a continuation of these efforts to live up to our regulatory obligations around the world and to provide age-appropriate experiences when people come to YouTube.

blog.youtube

 

[Humanoid]

Noniin, ny sitten tuli meikäläisen Youtube tilille pyyntö vahvistaa ikä, eli pitäisi alkaa lähettelee Googlelle kuvia passista tai muuta paskaa, ei helvetti soikoon. Eli varoituksen sana, että voipi napsahtaa kelle vaan! Tuohon en todellakaan suostu, joten pitääköhän siirtyä käyttämään Invidious kautta tuotakin paskaa. Noh, vähenee seuranta tuon myötä sentään...

Using technology to more consistently apply age restrictions

Today, we’re announcing a continuation of these efforts to live up to our regulatory obligations around the world and to provide age-appropriate experiences when people come to YouTube.

blog.youtube

Mulle Youtube näyttää niin paljon mainoksia adblockereista huolimatta, että Invidious/VLC/youtubedl on lähes ainoa vaihtoehto nykyään..

Tietääkseni ikärajallisia videoita ei saa ladattua tai ohitettua.

 

[=JP=]

Mulle Youtube näyttää niin paljon mainoksia adblockereista huolimatta, että Invidious/VLC/youtubedl on lähes ainoa vaihtoehto nykyään..

Tietääkseni ikärajallisia videoita ei saa ladattua tai ohitettua.

FreeTube toimii ja pystyy importaa Youtuben subscription listan suoraan ja Youtube-dl ohittaa tuon myös, kunhan uusin versio tulee pihalle, taikka käännät itse, ku koodissa se on jo valmiina. Myöskin Invidious ohittaa tuon, eli pystyy katsoo sitäkin kautta, mutta laatu taitaa kärsiä.

Tähän loppuu sitten meikäläisen virallisen Youtuben käyttö ja siirryn kolmannen osapuolen kautta katsomaan, ku tuolla vaan ikävä kyllä paljon porukka pistää ihan katsottavaakin välillä. Ehkä IO-Techin videot voisi vielä katsoa virallisesti Youtuben kautta.

 

[pekka666]

Mullakin alkoi jokin aika sitten kysellä noita henkkareita. Olen kyllä antanut Googlelle joskus pankkikortinkin tiedot ja muutenkin varmaan ihan liikaa tietoja, mutta päätin kuitenkin että en ihan periaatteen vuoksi mitään henkkareita lähetä. Youtuben katsominen oli kyllä jäänyt aika vähälle jo ennen tuota, mutta aika ärsyttävää silti.

 

[neko]

No antamalla pankkikortin tiedot toistamiseen riittää, ei tarvitse mitään kopioita passista tms. lähettää.

 

[”diginatiivi”]

Mullakin alkoi jokin aika sitten kysellä noita henkkareita. Olen kyllä antanut Googlelle joskus pankkikortinkin tiedot

Ei tule sitä päivää että antaisin googlelle tai vastaavalle taholle mitään tietoja puhumattakaan henkkareista tai pankkikorteista. Varmasti ovat jotain saaneet ongittua siitä huolimatta.

 

[BaTTman]

Empä tuollaisista freetubeista tiennytkään. Minullakin on jo tovin pyytänyt lähettelemään passista kuvaa...no empä ole lähettämässä. Tosi vähän tulee kyllä youtubea katseltua, ja olenkin miettinyt että lopetan kokonaan. Mutta jos tuon freetuben kautta viitsisi katsella ne mitä on tähänkin asti katsonut. Tosin tuntuu menevän hieman liian kikkailuksi.

 

[timop]

hullua on että se vaati pankki kortin vaikka on youtube premiumin tilaaja.

 

[neko]

hullua on että se vaati pankki kortin vaikka on youtube premiumin tilaaja.

Tämä oli kieltämättä outoa. Mutta ehkäpä päivittävät tiedot ajantasalle kaikilta. Vaikka tosiaan minäkin saman tiedon ilmoitin, mikä siellä jo oli.

 

[altar-from-shadow]

Noniin, ny sitten tuli meikäläisen Youtube tilille pyyntö vahvistaa ikä, eli pitäisi alkaa lähettelee Googlelle kuvia passista tai muuta paskaa, ei helvetti soikoon. Eli varoituksen sana, että voipi napsahtaa kelle vaan! Tuohon en todellakaan suostu, joten pitääköhän siirtyä käyttämään Invidious kautta tuotakin paskaa. Noh, vähenee seuranta tuon myötä sentään...

Using technology to more consistently apply age restrictions

Today, we’re announcing a continuation of these efforts to live up to our regulatory obligations around the world and to provide age-appropriate experiences when people come to YouTube.

blog.youtube

Itselle on tarjonnut vaihtoehdoksi lisätä luottokortti

kas olikin jo vastattu