Tietoturvauutiset ja blogipostaukset

Tässä syy miksi itse en halua esim. älykelloa, joka jakaa tiedot jonnekin pilveen, josta ne sitten saattaa "vahingossa" levitä yleiseen tietoon...
(Saisi markkinoille tulla ns. standalone laitteita, joista saisi datan helposti ulos jollain standardilla, jota paikallisesti sitten voi tarkemmin tutkia vaikka ihan softalla tietokoneella, ainahan sitä voi unelmoida.)
- Total Size: 16.71 GB / Total Records: 61,053,956
- Internal records exposed the following: deviceapi_profile, type, id, score, source, source_id, weight, e_id, fetched_time, height, birthday, gethealthID, first_name, last_name, display_name, url, gender, org_id, time_zone.
- GetHealth can sync data from the following: 23andMe, Daily Mile, FatSecret, Fitbit, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Apple HealthKit, Android Sensor, S Health.

Oletan, että tuo kuitenkin toimii s.e. tuonne palveluun pitää rekisteröidä ja sallia erikseen, että synkkaa itselleen datat kellovalmistajan omasta pilvestä. Sikäli noi viimeiset boldaukset ehkä vähän turhia?
 
Oletan, että tuo kuitenkin toimii s.e. tuonne palveluun pitää rekisteröidä ja sallia erikseen, että synkkaa itselleen datat kellovalmistajan omasta pilvestä. Sikäli noi viimeiset boldaukset ehkä vähän turhia?
Ikinä kuullutkaan gethealthistä, joten ehkei myöskään kannata älykelloja roskiin heittää yhden palvelutarjoojan takia, jota ei ole pakko käyttää näiden kanssa.
 
Itsellä Huawei Watch GT ja kauheasti tyrkyttää tunkemaan dataa ties minne. Mutta siitäkin selviää kun estää kaiken mahdollisen siltä niiden sovellukselta. Näin oon ainakin toivonut.
 
Tässä syy miksi itse en halua esim. älykelloa, joka jakaa tiedot jonnekin pilveen, josta ne sitten saattaa "vahingossa" levitä yleiseen tietoon...
(Saisi markkinoille tulla ns. standalone laitteita, joista saisi datan helposti ulos jollain standardilla, jota paikallisesti sitten voi tarkemmin tutkia vaikka ihan softalla tietokoneella, ainahan sitä voi unelmoida.)
- Total Size: 16.71 GB / Total Records: 61,053,956
- Internal records exposed the following: deviceapi_profile, type, id, score, source, source_id, weight, e_id, fetched_time, height, birthday, gethealthID, first_name, last_name, display_name, url, gender, org_id, time_zone.
- GetHealth can sync data from the following: 23andMe, Daily Mile, FatSecret, Fitbit, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Apple HealthKit, Android Sensor, S Health.

Ei näy Polar olevan listalla, joka tässä tapauksessa on hyvä asia.
Onkohan Polarin puolelta tietoinen valinta, että eivät ole yhteistyössä?
 
Vakava haavoittuvuus Hikvision-valvontakameroissa (CVE-2021-36260)

Hyökkääjä saa kameran totaalisesti hallintaansa root-oikeuksin pelkästään vierailemalla kameran sisäänkirjautumissivulla.

Käytännössä kaikki Hikvision-mallit. Haavoittuvuus oletettavasti koskee myös sellaisia OEM-valmistajien kameroita, jotka pohjautuvat Hikvisionin tekniikkaan (lista tunnetuista valmistajista). Ilmeisesti myös jotkut NVR-laitteet haavoittuvia.

Korjaava firmware-päivitys saatavilla. Päivitä välittömästi tai estä pääsy kameralle julkisesta internetistä, jos olet sen aiemmin sallinut esimerkiksi reitittimen porttiohjauksella (portit 80, 443).


 
Aivan hemmetin kätsy tää Shodan palvelu, vuosia sitten tuli hankittua Lifetime membership (sai muutamalla hassulla dollarilla), käsittääkseni edelleen todella laajasti käytetty palvelu ja yllättävän tehokas nopeaan tiedon etsintään (OSINT).
Nytkin löytyy Suomesta sadoittain noita HikVision kameroita portit auki Internetiin, pelottavaa katseltavaa kyllä...

Globaalisti löytyy vaivaset lähes 5 miljoonaa kameraa auki Internetiin nopealla haulla.
 
Tämä varmaan sivuaa osin tätä ketjua

”Älkää ostako kiinalaisia puhelimia ja heittäkää nykyiset pois”, kehottaa Liettuan puolustusministeriö

uutisoi Liettuan puolustusministeriön kehotuksesta kuluttajille olla ostamatta kiinalaisia älypuhelimia. Ministeriön mukaan muun muassa Xiaomin älypuhelimissa on sisäänrakennettuja sensurointityökaluja.

Liettuan kyberturvallisuusyksikkö kertoo, että puhelimet tunnistavat ja sensuroivat asioita, joista Kiina ei tykkää. Sensuuriin menevät muun muassa sanaparit ”Free Tibet” ja ”democracy movement” sekä lause ”Long live Taiwan independence”.

Kyberturvallisuusyksikkö huomauttaa, että Xiaomin Mi 10T -puhelimessa kyseinen sensuurityökalu on kytketty pois päältä EU-alueella, mutta se voidaan aktivoida koska tahansa.


”Kehotamme kuluttajia olemaan ostamatta uusia kiinalaisia puhelimia ja heittämään nykyiset puhelimet pois niin nopeasti kuin se on mahdollista”, Liettuan apulaispuolustusministeri Margiris Abukevičius sanoo.

Xiaomi ei kommentoinut asiaa Reutersille.

Kannattaa toki huomioida tässä että:

Kiinan ja Liettuan välit ovat olleet viime aikoina hyvin happamat. Elokuussa Kiina kutsui suurlähettiläänsä pois Liettuasta ja karkotti Liettuan suurlähettilään pois Pekingistä, kertoi Yle. Taustalla on Liettuan ja Taiwanin suhteiden tiivistyminen, josta Kiina ei pidä. Vaikka Taiwan toimii itsenäisen valtion tavoin, Kiinan mielestä Taiwan on osa sitä.
 
Vakava haavoittuvuus Hikvision-valvontakameroissa (CVE-2021-36260)

Hyökkääjä saa kameran totaalisesti hallintaansa root-oikeuksin pelkästään vierailemalla kameran sisäänkirjautumissivulla.

Käytännössä kaikki Hikvision-mallit. Haavoittuvuus oletettavasti koskee myös sellaisia OEM-valmistajien kameroita, jotka pohjautuvat Hikvisionin tekniikkaan (lista tunnetuista valmistajista). Ilmeisesti myös jotkut NVR-laitteet haavoittuvia.

Korjaava firmware-päivitys saatavilla. Päivitä välittömästi tai estä pääsy kameralle julkisesta internetistä, jos olet sen aiemmin sallinut esimerkiksi reitittimen porttiohjauksella (portit 80, 443).



Tuossa kyllä saa jo syyttää jonkun verran itseäänkin jos oikeasti joku nämä kamerat on suoraan nettiin liittänyt. Varmasti hakkeroidaan jossain vaiheessa ja mahdollisesti saastutetaan.
 
Viimeksi muokattu:
Apple botches patch, doesn't assign a CVE ID
While Apple silently fixed the issue without assigning a CVE identification number, as Minchan later discovered, Apple's patch only partially addressed the flaw as it can still be exploited by changing the protocol used to execute the embedded commands from file:// to FiLe://.
 
Kyberturvallisuuskeskus selvittää kanssa tuota tapausta.
Kyberturvallisuuskeskus selvittää muun muassa sitä, onko Suomessa käytössä olevien puhelinten ohjelmistoversioissa samat sensurointiominaisuudet kuin Liettuassa.
 
Applen AirTag-jäljittimet saattavat mahdollistaa iCloud-tunnusten varastamisen, kiitos Lost Moden puhelinnumero-kentän, joka mahdollistaa haitallisen koodin upotuksen:

 
Tuli vaihdettua salasana. Tuossakin palvelussa on 2FA eli kannattaa ottaa käyttöön.
Tuo Twitchin 2FA vaan näyttää vaativan puhelinnumeron antamisen heille, joten pitänee hakea jostain prepaid liittymä jonka numeroa voi sitten käyttää tälläisissä tapauksissa.
 
Tuo Twitchin 2FA vaan näyttää vaativan puhelinnumeron antamisen heille, joten pitänee hakea jostain prepaid liittymä jonka numeroa voi sitten käyttää tälläisissä tapauksissa.
Niin vaatii. Itsellä on tuo "Text Message" backupina.

1633531528786.png
 
Kaippa se pitää tuo Saunalahti Lataus liittymä hankkia näitä perhanan puhelinnumeroa vaativille palveluille, pistää johonkin laatikko luuriin ja käynnistää tarvittaessa, ettei turhiä pärise ku leviää sitten spämmi listoille...
 
Tuo Twitchin 2FA vaan näyttää vaativan puhelinnumeron antamisen heille, joten pitänee hakea jostain prepaid liittymä jonka numeroa voi sitten käyttää tälläisissä tapauksissa.

Tämä on kyllä suoraan sanottuna aivan perseestä. Kaikki tietävät ettei SMS:n kautta tapahtuva 2FA-autentikointi ole edes turvallista. Varmuuskoodit olisivat parempi vaihtoehto, mutta niitä ei edes tarjottu.
 
Tämä on kyllä suoraan sanottuna aivan perseestä. Kaikki tietävät ettei SMS:n kautta tapahtuva 2FA-autentikointi ole edes turvallista. Varmuuskoodit olisivat parempi vaihtoehto, mutta niitä ei edes tarjottu.
Kyllähän jo tuokin kertoo, ettei Twitch kauheena ole tuohon tietoturvaan oikein panostanut tuossakaan, niin ei ihme että se on sitten korkattu kokonaan...
 
Jotenkin muistan että itsellä oli Twitch tili, mutta ei ainakaan lähetä salasananvaihtolinkkiä sähköpostiin, onko joku tukos vai muistanko vain väärin?
 
Jotenkin muistan että itsellä oli Twitch tili, mutta ei ainakaan lähetä salasananvaihtolinkkiä sähköpostiin, onko joku tukos vai muistanko vain väärin?
Eiköhän siellä ole melkoinen resetointispämmi meneillään. Päivällä ehdin vaihtaa oman tilin salasanaa, ilman mitään ongelmia. Onneksi kyseinen salasana oli Bitwardenin generoima, joten pahimmassakin tapauksessa menetys olisi varsin mitätön.
 
Eiköhän siellä ole melkoinen resetointispämmi meneillään. Päivällä ehdin vaihtaa oman tilin salasanaa, ilman mitään ongelmia. Onneksi kyseinen salasana oli Bitwardenin generoima, joten pahimmassakin tapauksessa menetys olisi varsin mitätön.

Sama täällä. KeePassXC:n generoima passu se edellinenkin oli, niin melko huonoa tuuria olisi ollut sen vuotaneen hashin kanssa. Mutta pelataan varman päälle :)
 
Tuo Twitchin 2FA vaan näyttää vaativan puhelinnumeron antamisen heille, joten pitänee hakea jostain prepaid liittymä jonka numeroa voi sitten käyttää tälläisissä tapauksissa.
Tästä heräsi kiinnostus miten tuo tuolla toimii.
Jos hakee sopimuksettoman prepaidin, niin se ei ole siirettävissä ja numeron pitäminen vaatii huolellisuutta. Niin onko tuo välttämätön, eli jos numeron menettää, niin tili pysyy edelleen käytettävissä ? ja halutessaan voi antaa uuden numeron ja/tai poistaa vanhan kuolleen numeron. (tarkennus, siinä vaiheessa kun numeron on jo menettänyt)


Ei tietenkään prepaid ominaisuus, voi jonkin muunkin liittymän numeron menettää.
 
Tästä heräsi kiinnostus miten tuo tuolla toimii.
Jos hakee sopimuksettoman prepaidin, niin se ei ole siirettävissä ja numeron pitäminen vaatii huolellisuutta. Niin onko tuo välttämätön, eli jos numeron menettää, niin tili pysyy edelleen käytettävissä ? ja halutessaan voi antaa uuden numeron ja/tai poistaa vanhan kuolleen numeron. (tarkennus, siinä vaiheessa kun numeron on jo menettänyt)


Ei tietenkään prepaid ominaisuus, voi jonkin muunkin liittymän numeron menettää.
Se riski siinä on, että menettää numeron ja todennäköisesti tilin sen myötä, ellei Twitch ala selvittämään asiaa tarkemmin ja kyselemään sulta passikuvia jne... jota kyllä epäilen.
Siksi juurikin tuo pari viestiä sitten mainitsemani Saunalahti Lataus liittymä on hyvä vaihtoehto, kunhan laittaa kalenteriin muistutuksen, että lisää sinne aina 10 euroa 2 vuoden välein, että numero pysyy hallinnassa.
 
Eiköhän siellä ole melkoinen resetointispämmi meneillään. Päivällä ehdin vaihtaa oman tilin salasanaa, ilman mitään ongelmia. Onneksi kyseinen salasana oli Bitwardenin generoima, joten pahimmassakin tapauksessa menetys olisi varsin mitätön.

Kyllä mä uskon että vaikka olisi tukos, niin kyllä sen viestin olisi pitänyt jo tulla jos olisi ollut tunnus mutta ilmeisesti sitten muistin väärin. Eikä missään muualla ole ainakaan vielä moisesta ongelmasta kirjoitettu niin ehkä ei sitten ole mitään tukosta.
 
Tästä heräsi kiinnostus miten tuo tuolla toimii.

Jos hakee sopimuksettoman prepaidin, niin se ei ole siirettävissä ja numeron pitäminen vaatii huolellisuutta. Niin onko tuo välttämätön, eli jos numeron menettää, niin tili pysyy edelleen käytettävissä ? ja halutessaan voi antaa uuden numeron ja/tai poistaa vanhan kuolleen numeron. (tarkennus, siinä vaiheessa kun numeron on jo menettänyt)



Ei tietenkään prepaid ominaisuus, voi jonkin muunkin liittymän numeron menettää.


Tuon aiemman kuvan perusteella voisin kuvitella että tuo SMS autentikointi ei ole pakollinen joten luulisin että numeroa ei tarvita 2FA käyttöönoton jälkeen. Jos myöhemmin jostain syystä haluaa 2FA pois päältä tai vaihtaa puhelinnumeroa niin eiköhän se sitten kysy vaan OTP:n ja tyytyy siihen.

Mutta tämä perustuu täysin omiin kuvitelmiin ja luuloihin, ei faktoihin.

Ajattelin itse ainakin hankkia sen prepaidin taikka latausliittymän, ei tuo Twitch kuitenkaan ole ainoa joka puhelinnumeroa kyselee. Tarvitsee vaan laittaa kalenteriin muistutus että latailee sitä liittymää vaikkapa 11kk välein ettei se mene kiinni.
 
Suosittelen jatkamaan tuota 2FA keskustelua tuonne:
 
Tämä on kyllä suoraan sanottuna aivan perseestä. Kaikki tietävät ettei SMS:n kautta tapahtuva 2FA-autentikointi ole edes turvallista. Varmuuskoodit olisivat parempi vaihtoehto, mutta niitä ei edes tarjottu.
FIDO2 / WebAuthn on myös aivan mainio moderni tapa hoitaa vahva autentikointi. Vahvempi kuin backup koodit / TOTP.
 
Julkaistu iOS 15.0.2 ja iPadOS 15.0.2 päivitykset.

Apple julkaisi korjaavan ohjelmistopäivityksen iOS ja iPadOS -käyttöjärjestelmien haavoittuvuuteen joka voi mahdollistaa laitteen täydellisen haltuunoton. Haavoittuvuutta on Applen mukaan jo havaittu hyväksikäytettävän rikollisten toimesta, joten haavoittuvat ohjelmistot tulee päivittää ensi tilassa.
 
Viimeksi muokattu:
Hikvisionin kameroissa paljastunut iso ongelma. Mikäli kamera on netissä "tarjolla" tai jos hyökkääjä on samassa verkossa, niin hyökkääjä saa rootin oikeudet. Cve 9.8/10

Vanha uutinen, käsitelty täälläkin kuukausi sitten:

Noh, kertaus on opintojen äiti...
 
Ransomware iski Acerin järjestelmiin $50M:n lunnaisvaatimuksella:


@Kaotik
Acer on jälleen otsikkoissa. Rikolliset murtautuivat Acerin Intiassa ja Taiwanissa sijaitseviin järjestelmiin. Acerin mukaan, ainoastaan Intian yksikkö sisälsi asiakkaisiin liittyvää dataa.


@Kaotik
 

Twitter has suspended a hacker who allegedly stole all of the data from Argentina's database holding the IDs and information of all 45 million citizens of the country.

A threat actor using the handle @aniballeaks said they managed to hack into Argentina's National Registry of Persons -- also known as RENAPER or Registro Nacional de las Personas -- and offered to sell the data on a cybercriminal forum.

The leaked data includes names, home addresses, birthdays, Trámite numbers, citizen numbers, government photo IDs, labor identification codes, ID card issuance and expiration dates.

Initially, the hacker began leaking the information of famous Argentines like Lionel Messi and Sergio Aguero. But in a conversation with The Record, the hacker said they planned to publish the information of "1 million or 2 million people" while looking for buyers interested in the data.
 
Microsoft allekirjoitti WHQL-ajurit, jotka osoittautuivat malwareksi.

Key Findings
  • Bitdefender researchers have identified a rootkit with a Microsoft-issued digital signature;
  • The rootkit is used to proxy traffic to Internet addresses that interest the attackers.
  • We assume that the rootkit targets online games with the main goal of credential theft and in-game-purchase hijacking
  • The rootkit has been targeting computer users for more than a year now
  • Rootkit spreading is limited to China and we presume that it is operated by a threat actor with significant interest in the market



@Kaotik
 
Tori.fi järjestelmässä on ollut tietoturvahaavoittuvuus. Käyttäjien piilotettuja puhelinnumeroita on päässyt vuotamaan.
Ei nyt GDPR-aikakaudella ihan näin pitäisi olla että: Tori pyytää käyttäjiä, joita on yritetty huijata, olemaan yhteydessä Torin asiakaspalveluun.

Eivät aio muuta infota käyttäjille?! Se että X määrä on nyt numeroita (ehkä myös muita tietoja) viety niin ei koeta tarpeelliseksi... ?
 
Tori.fi järjestelmässä on ollut tietoturvahaavoittuvuus. Käyttäjien piilotettuja puhelinnumeroita on päässyt vuotamaan.

Kävin vielä tarkistamassa, niin ei ilmeisesti ole ollut koskaan puhelinnumeroa näkyvillä tai asetuksissa (sinä aikana kun torissa ollut tuo schibsted tilijuttu käytössä), eli ehkä tällä kertaa safe! miljoona muuta kertaa sähköposti vuotanut muissa tapauksissa xD

Asetuksissa näkyi vain numero: - ja sitten vielä katsoin tarkemmin niin ei siellä mitään numeroa ollut, eikä ole ollut ilmoituksia ainakaan puoleen vuoteen (missä numero pakollinen kyllä), ilmoituksen tekemiseen se numero on kyllä pakollinen mutta sitä ei tarvitse ainakaan tuolla schibsted asetuksissa pitää tallennettuna.

Poistin vielä tuon schibsted tilin (+ torin) kun käytin niin harvakseltaa enää.
 
Viimeksi muokattu:
Ikävä uhka tavallisen näköisestä usb-kaapelista ja samalla vaikuttava saavutus integroida haitallinen lisätoiminta kaapeliin.

This Seemingly Normal Lightning Cable Will Leak Everything You Type

Joko jokaisen tietoturvavastaavan työkaluarsenaalissa on radio-skannaukset ja skannauksien analysointi? Pistokokein ja jatkuvasti?
Onneksi puhelimen (varsinkin iPhonen) kytkeminen tietokoneeseen kaapelilla on kovaa vauhtia siirtymässä historiaan. Tulevista malleista ei välttämättä enää löydy koko kaapeliliitäntää.
 
Onneksi puhelimen (varsinkin iPhonen) kytkeminen tietokoneeseen kaapelilla on kovaa vauhtia siirtymässä historiaan. Tulevista malleista ei välttämättä enää löydy koko kaapeliliitäntää.
USB-kaapeleista ei päästä eroon pitkään aikaan, niin monessa asiassa niitä käytetään edelleen, itse ihmetellyt, etteivät ole tehneet esim. OMG USB-jatkokaapelia, joka olisi helppo pistää koneeseen kiinni, eikä varmaan aiheuttaisi paljoa ihmettelyä monessakaan paikassa.
 
USB-kaapeleista ei päästä eroon pitkään aikaan, niin monessa asiassa niitä käytetään edelleen, itse ihmetellyt, etteivät ole tehneet esim. OMG USB-jatkokaapelia, joka olisi helppo pistää koneeseen kiinni, eikä varmaan aiheuttaisi paljoa ihmettelyä monessakaan paikassa.
Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti. :)
 
Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti. :)
Juu, siis itse pohdin tuota asiaa enemmänkin ihan "teollisuusvakoilun" näkökulmasta (nykyään myös ransomware vaarana), eli tuollaisen kaapelin saaminen johonkin firman koneeseen voipi olla jättipotti ilkeissä käsissä. Se miten se sinne saadaan onkin sitten eriasia, tapoja on monenlaisia riipuen tilanteesta.

Tavallisen ihmisen ei tarvii paljoa noita pelätä, joissain erikoistapauksissa tietenkin voi olla kohteena (esim. kumppanin vakoilut sun muut).
 
Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti.

En olisi niin varma, varsinkaan tällaisella foorumilla. Juuri kaapeleissa ja pientarvikkeissa prosentuaalinen hintaero on monesti suurimmillaan kotimaisiin kauppoihin verrattuna. Mutta itsekin suosittelen välttämään ihan halvimpia, ja lähikaupasta ostaminen on sekä turvallisempaa että helpompaa.
 
Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti. :)

Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?
 
Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?
Etenkin nyt etätöiden yleistyttyä, niin tuollaisen kaapelin saaminen jonkun kotiin luulisi olevan paljon helpompaa kuin johonkin työtiloihin. Tottakai tämäkin riippuu monesta asiasta, mutta mitä on nähnyt ja lukenut, niin siellä kotona ei kyllä olla ihan niin tarkkana tietoturvan kanssa tällä hetkellä työkoneilla, kuin että istuttaisiin toimistossa joissakin tapauksissa.
 
Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?
Vakoilu ja siitä torjuminen on loputon taistelu. Kuten aikaisemmin totesin, jos kyseessä ei ole henkilö jota erityisesti haluttaisiin vakoilla, en olisi hirveästi huolissaan.

Miten hoitaisin tämän? Tämä riippuu niin monesta eri asiasta, ettei tuohon pysty vastaamaan yksiselitteisesti. Henkilön vakoiluhoukuttelevuudesta riippuen, yksi yleisimmistä ratkaisuista voisi olla "kielletään kaikki ja sallitaan erikseen listatut asiat"-periaatteella. Tämä toteutus ei myöskään riipu mistään mistä saa tai ei saa ostaa yksittäistä kaapelia, vaan käytännössä kaikesta missä henkilöä tai sen käyttämiä asioita voidaan vakoilla. Taas tullaan siihen että kyse on loputtomasta taistelusta joka on jatkuvaa seurantaa ja asioiden parantamista saadun ja löydetyn kokemuksen perusteella.
 
Niin se vaan pikkuhiljaa alkaa leviämään erinäisiin online palveluihin, että pitää alkaa todistamaan henkilöllisyys lähettämällä kuva henkkareista ja omasta naamasta. Mielenkiintoista tässä tapauksessa on se, että käyttäjän pitäisi todistaa olevansa yli 13 vuotias, kuinka monelta tuon ikäiseltä löytyy joku virallinen henkilöllisyystodistus. Ja mielestäni alaikäisen tietojen kysely on pikkasen arveluttavaa.

Ja onko tässä otettu lainkaan huomioon, miten pian tätä asiaa aletaan hyödyntämään huijausten nimissä, porukka lähettelee tietojaan ties minne, olipa kyse minkä tahansa palvelun nimissä tehdystä huijauksesta, koska käytäntö vaan laajenee.


Age Verification comes in two stages. First, an ID document check, and then a selfie match. On the Roblox app, users start by scanning their ID card, driver’s license, or passport. Roblox uses advanced image processing technology to validate the document’s legitimacy.

The Age Verification service is gradually rolling out to users starting today, September 21, 2021, and over the course of a few weeks. It will be available globally in over 180 countries on both mobile and desktop for anyone 13 years of age or older with a government-issued ID or passport.
 

Statistiikka

Viestiketjuista
262 631
Viestejä
4 560 414
Jäsenet
75 010
Uusin jäsen
laaseri-erkki

Hinta.fi

Back
Ylös Bottom