Päivän tietoturvauutinen *postaa tänne*

Viestiketju alueella 'Tietotekniikkauutisia maailmalta' , aloittaja Alex_F, 04.09.2007.

  1. Alex_F

    Rekisteröitynyt:
    25.10.2000
    Viestejä:
    1 904
    Ei ole pitkäkään aika siitä, kun vanhan Acrobatin haavoittuvuutta käytettiin hyväksi kohdennetussa hyökkäyksessä.
    Tuotahan muuten demottiin tietoturvapäivän yhdessä keynotessa... Ihan näppärä hyökkäys.
    Tiiviste:
    Ongi tietoja firmasta X, esim. mainostoimisto, pr-pomon nimi yms. googlekivaa.
    Tee vakuuttava pdf tiedosto (esim. mukailtu lehdistötiedote - löytyy yleensä firman sivuilta).
    Saastuta pdf tiedosto - työkaluja on netissä
    Lähetä tiedosto mainostoimiston edustajan nimissä pr-pomolle "hei kato tää lehdistötiedote ennenkuin menee iltsikkaan"
    Haaa... olet tehnyt kohdennetun hyökkäyksen jonka onnistumistodennäköisyys on suuri.

    No jokainenhan osaa jättää liitetiedostoina tulevat pdf:t netin mysteeriset "MS Certificate Answers part 3.pdf" tiedostot lataamatta ja avaamatta - eikö?
    [signature]Läppäri: http://service.futuremark.com/compare?3dm06=9180650
    Pelikone: http://service.futuremark.com/compare?3dm06=9337549[/signature]
     
  2. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    11 724
    Googlella onkin jo näppärä PDF viewer, joka toimii webissä, eikä käytä flashiä tms. Vaan näyttää dokkarit kuvina. Sen verran hyvin tehty, että tekstin selektointi ja copy-paste toimii tästäkin huolimatta. Toimii ainakin GMailin yhteydessä, mutta ei taida vielä tukea muualta webistä löytyneiden pdf:en avaamista.
    [signature]Laatikon levein pensseli[/signature]
     
  3. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    11 724
    Flash vuotaa myös, http://cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-012.html
    Reikä on tilkitty näissä versioissa: 9.0.159.0 ja 10.0.22.87
    [signature]Laatikon levein pensseli[/signature]
     
  4. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    11 724
    Tietokone-lehti kertoo että "Firefox on selainmaailman seula,
    Firefoxin maine turvallisena selaimena on kyseenalaistettu useasti, eikä turvatestausfirma Secunian tuore raportti Tulikettua mairittele: siinä oli yhtä paljon haavoittuvuuksia kuin Internet Explorerissa, Safarissa ja Operassa yhteensä"
    http://www.tietokone.fi/uutta/uutinen.asp?news_id=37040

    Olisikohan mennyt taasen kerran puurot ja vellit hieman sekaisin? Kukaanhan ei oikeasti tiedä kuinka paljon haavoittuvuuksia missäkin selaimessa on. Voidaan ainoastaan puhua siitä, kuinka monta julkituotua haavoittuvuutta missäkin selaimessa on. Vähän karrikoiden voisi sanoa, että Tietokone-lehden mielestäni Firefox on selainmaailman seula, koska siitä on korjattu eniten tietoturva-aukkoja (todennäköisesti suurin osa julkaistuista aukoista on myös korjattu).

    Itse en pidä mitenkään hämmentävänä, että jos neljästä selaimesta kolme edustaa suljettua koodia ja yksi avointa niin avoimesta löydetään eniten aukkoja. Omasta mielestäni tämä ei kerro niinkään open sourcen turvattomuudesta, vaan siitä, että aukkoja on paljon helpompi etsiä ja tutkia lähdekoodia lukemalla.
    [signature]Laatikon levein pensseli[/signature]
     
  5. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    Adobe9:lle 0 day vulnerability korjaus.

    http://www.maximumpc.com/article/news/adobe_patches_zeroday_vulnerability

    [signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  6. escalibur

    Rekisteröitynyt:
    27.12.2000
    Viestejä:
    18 216
    FoxitReaderissa ei taida olla tätä "reikää"?

    [signature]Q6600 (G0) @ 3,52GHz | P5K Deluxe | 8800GTS 512MB + Accelero S1 rev. 2 @ 750/1880/1000 | 2x 2GB XP6400 800MHz @ 1056MHz | T166 500GB | 2232BW 22" | SH-S203B | P182 | HX 520W | NH-U12F | G5 7-näppäintä | Vista x64 Business | Apple Keyboard ::::: e-mail contact :::::[/signature]
     
  7. Alex_F

    Rekisteröitynyt:
    25.10.2000
    Viestejä:
    1 904
    http://www.uusisuomi.fi/kotimaa/53522-ala-usko-sahkopostin-supervirusvaroitusta

    ja tärppi jos ei ole turhan kiire: Schneierin viimeisin uutiskirje... http://www.schneier.com/crypto-gram-0903.html
    [signature]Läppäri: http://service.futuremark.com/compare?3dm06=9180650
    Pelikone: http://service.futuremark.com/compare?3dm06=9337549[/signature]
     
  8. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    Conficker.C aikoo häröillä 1.4.2009. Uusi versio aikoo ilmeisesti olla entistä hankalampi poistaa.
    http://arstechnica.com/security/news/2009/03/confickerc-primed-for-april-fools-activation.ars

    Eikun innolla odottelemaan, josko se saisi aikaan jotain kivaa.

    Tätähän levitetään sitten esim pdf aukon kautta (Johon on siis olemassa korjaus).

    Pistetääs tähän suomeksi.. (ca.com ja muut lähteet)
    Voi heittää kopioita itsestään satunnaisilla nimillä seuraaviin hakemistoihin:
    %Program Files%\Windows NT
    %Program Files%\Windows Media Player
    %Program Files%\Internet Explorer
    %Program Files%\Movie Maker

    Tiedostot ovat onneksi merkattu R,H ja S attribuuteilla, joten ne on helpompi löytää.
    Tiedostot ovat lukittuja ja käytössä.

    Tekee rekisteriin käynnistyskohdan:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<satunnaista roskaa> = "rundll32.exe <madon tiedostonimi>, <satunnaista roskaa>"

    Tekee itselleen palvelun, jonka nimi muodostuu seuraavien listojen sanoista (lista1 lista2).
    Lista1:
    App,Audio,DM,ER,Event,help,Ias,Ir,Lanman,Net,Ntms,Ras,Remote,Sec,SR,Tapi,Trk,W32
    win,Wmdm,Wmi,wsc,wuau,xml
    Lista 2:
    access,agent,auto,logon,man,mgmt,mon,prov,serv,Server,Service,Srv,srv,svc,Svc,System,
    Time

    Palvelun näytettävä nimi muodostuu kahdesta sanasta seuraavasta listasta:
    Audit,Backup,Boot,Browser,Center,Component,Config,Control,Discovery,Driver,Framework,
    Hardware,Helper,Image,Installer,Logon,Machine,Management,Manager,Microsoft,Monitor,
    Network,Notify,Policy,Power,Security,Shell,Storage,Support,System,Task,Time,Trusted,
    Universal,Update,Windows

    Eli siitä voi seurata esimerkiksi seuraavat muutokset rekisteriin:

    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task"
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs"
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem"
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "<randomly copied from an existing service with a Startup Type of 2 >"
    HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\<worm executable >"


    jne..

    Deaktivoi windows securitycenterin ilmoitukset (jotain hyvääkin :) ).

    Yrittää estää vikasietotilaan käynnistyksen, poistamalla:
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

    Deaktivoi windows defenderin, poistamalla:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender

    Poistaa palautuspisteet
    Estää muutamien palveluiden käynnistymisen (mm automaattiset päivitykset ja BITS)

    Lopettaa seuraavat prosessit:
    autoruns, avenger, confick, downad,filemon,gmer,hotfix,kb890,kb958,kido,klwk,mbsa
    mrt.,mrtstub,ms08-06,procexp,procmon,regmon,scct_,sysclean,tcpview,unlocker,wireshark

    Estää tietyille sivuille menon valvomalla seuraavia API toimintoja:
    Query_Main,DnsQuery_W,DnsQuery_UTF8,DnsQuery_A,sendto

    Estää ohjelmia pääsemästä minnekään, jos osoitteessa on tiettyjä kirjainyhdistelmiä (päivitykset).

    Lataa satunnaisista osotteista (joita on paljon!) haittaohjelmia ja ajaa niitä. ELI SIIVOTKAA KONEET ENNEN 1.4.2009 JA ILMOITTAKAA ASIASTA MUILLEKKIN!

    Helpoin tapa tuon poistamiseen lienee VISTAn asennuslevy ja sieltä korjauskonsoli TAI bartPE tyylinen systeemi. Siellä kannattaa etsiä nuo tietyt tiedostot ja uudelleennimetä ne, jonka jälkeen bootti ja siivous+ korjaukset.

    Tämä työkalu SAATTAA toimia tai sitten ei:
    http://www.bdtools.net/[signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  9. Mauriccio

    Rekisteröitynyt:
    28.12.2007
    Viestejä:
    314
    Niin oliko tämä aukko pdf-standardissa vaiko vain Adoben toteutuksessa?-)

     
  10. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    En tiedä,sen tosin tiedän, että adobe reader 9.1:ssä se pitäisi olla paikattu ja päivitin eilen, joten ei ole enää omalla kohdalla merkityksellinen.

    Senverta itse aukosta on tietoa, jotta liittyy ilmeisesti ehkä mahdollisesti kaiketi luultavasti javascript upotuksiin pdf:issä. Sitä en tiedä, mitä tuo standardi tismalleen sisältää, eikä edes kyllä kiinnosta.

    Joten jos ei ole paikattu vieweri, niin kannattaa ehkä disabloida siitä javascriptien ajo.

    Tietysti netissä on aikapaljon kaikkea roskaa, mutta oletko kokeillut seuraavaa hakua:
    http://www.google.fi/search?hl=fi&q=pdf+zeroday+vulnerability&meta=
    [signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  11. escalibur

    Rekisteröitynyt:
    27.12.2000
    Viestejä:
    18 216
    Tässäkin on jotkut ohjeet ja työkalut sen (Net-Worm.Win32.Kido) poistamiseen: http://support.kaspersky.com/faq/?qid=208279973 ja http://blog.sekiur.com/2009/02/step-by-step-in-dealing-with-conficker/


    [signature]Q6600 (G0) @ 3,52GHz | P5K Deluxe | 8800GTS 512MB + Accelero S1 rev. 2 @ 750/1880/1000 | 2x 2GB XP6400 800MHz @ 1056MHz | T166 500GB | 2232BW 22" | SH-S203B | P182 | HX 520W | NH-U12F | G5 7-näppäintä | Vista x64 Business | Apple Keyboard ::::: e-mail contact :::::[/signature]
     
  12. Alex_F

    Rekisteröitynyt:
    25.10.2000
    Viestejä:
    1 904
    Oiskohan tuo WSJ:n uutinen tietoturva-uutinen - eli IBM "aikoo" ostaa SUN:n kuleksimasta. Tässä kohtaa ainakin monen Sun IDM tuotteen käyttäjän / ostoa harkitsevan puntit tutisee ;)

    Mitenköhän käy päällekkäisten tuotelinjojen jos osto toteutuu?

    Uutinen/huhu @ WSJ: http://online.wsj.com/article/SB123735970806267921.html
    [signature]Läppäri: http://service.futuremark.com/compare?3dm06=9180650
    Pelikone: http://service.futuremark.com/compare?3dm06=9337549[/signature]
     
  13. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    Noista ohjeista ainankin tuo ensimmäinen vaikuttaisi olevan jollekkin muulle / vanhemmalle versiolle.
    [signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  14. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    Paremmin piiloutuvia rootkittejä ym kivoja ohjelmia on odotettavissa, kiitos prosessoreissa olevan SMM tilan ja siihen liittyvän bugin.
    http://www.cs.ucf.edu/~czou/research/SMM-Rootkits-Securecom08.pdf

    Tuli vain mieleen, jotta eikö tuon muistialueen korruptoitumista voitaisi tarkkailla ja jos ongelmia huomattaisiin, niin kone vain nurin?
    [signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  15. Juffex

    Rekisteröitynyt:
    16.12.2005
    Viestejä:
    6 153
    EDIT: Ingenting...[signature]Asus Maximus II Formula | Q6600 @ 3,4GHz + Scythe Mugen 2 | 4x 2Gt G.Skill DDR2-1066 | Palit HD4870 1Gt Sonic + Scythe Musashi | HDD: 2,8T | Antec P182 | Corsair HX620 | ViewSonic VX922[/signature]
     
  16. Juffex

    Rekisteröitynyt:
    16.12.2005
    Viestejä:
    6 153
    http://www.digitoday.fi/tietoturva/2009/03/24/biosiin-pesiytyvaa-haittaohjelmaa-on-mahdoton-poistaa/20097728/66

    Tuollaisesta uhasta on nyt ollut puhetta jo paljon/pitkään, mutta tuo väite tuli itselleni yllätyksenä, että poistaminen muka lähes mahdotonta? Liekö asia näin vai onko tämä taas turhaa pelottelua?

    Mitenkäs tämä vihulainen selviää jos nappaa vaikka piirin irti ja käyttää ohjelmointilaitteessa mutkan. Siinä täydellinen erase ja uusi versio piirille? Itse olen paljon ohjelmointilaitteella pyyhkinyt ja uudelleenohjelmoinut piirejä, mutta koskaan en ole tarkistanut tai edes ajatellut, että kuinka hyvin se pyyhkii. Vai onko piirillä "osio" jonka data ei pyyhkiinny, mutta periaatteessa ei siihen kyllä pitäisi pystyä mitään kirjoittamaankaan.[signature]Asus Maximus II Formula | Q6600 @ 3,4GHz + HR-01 Plus | 4x 2Gt G.Skill DDR2-1066 | Palit HD4870 1Gt Sonic + Scythe Musashi | HDD: 2,8T | Antec P182 | Corsair HX620 | ViewSonic VX922[/signature]
     
  17. Damless

    Rekisteröitynyt:
    08.08.2008
    Viestejä:
    820
    Hyvin menee, McAfee päästi XP boottaamaan itseensä. Ei ole tapahtunut neljään vuoteen?
    [signature]K-18[/signature]
     
  18. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    Kannattaa huomioida, jotta nykyemoissa ei kaikissa saa biospiiriä emosta irti se kun tinattu sinne. Sen flahays on hieman hankalampi homma.

    Se on suorastaan rikollista toimintaa, jotta emoissa ei ole flash writeprotect jumpperia, joka estäisi rautatasolla flashin kirjoituksen.
    No, ehkä vielä kosahtaa ja ehkä sitten opitaan ja ehkä se jupperi tulee sitten sieltä..
    [signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     
  19. Harmaaparta

    Rekisteröitynyt:
    28.03.2008
    Viestejä:
    29
    Snooping dragons:
    http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf
     
  20. Satai Vesa Moderaattori

    Rekisteröitynyt:
    20.09.2000
    Viestejä:
    9 068
    Ihan mielenkiintoista luettavaa, mutta tuossa ei oikeastaan annettu mitään vinkkejä siihen, miten yksityishenkilön kannattaisi suojautua tuontyyppisiltä rootkit-hyökkäyksiltä tulevaisuudessa. Luonnollisesti riski joutua hyökkäyksen kohteeksi on selvästi pienempi kuin annetuilla esimerkkitapauksilla, mutta lienee silti hyödyllistä alkaa vähitellen pohtia, kuinka tarpeellista olisi investoida artikkelissa mainittujen kaltaisiin tietoturvaratkaisuihin.
    [signature]Nervus rerum[/signature]
     
  21. Zepi

    Rekisteröitynyt:
    26.08.2000
    Viestejä:
    8 243
    Hyviä ratkaisuita on virtualisoida sähköpostiohjelmisto ja internetselain. Eli vaikkapa vmware:n ilmaisversioilla ajaa jotain linux-distroa ja pyörittää kaikki sähköposti ja nettiselainjutut sen kautta. Toinen vaihtoehto on konvertoida kaikki sisääntuleva data aina "turvalliseen" muotoon.

    Eli esim. jokainen sisään tuleva PDF ajetaan PDF2PS -> PS2PDF konversion läpi virtuaalikoneessa. Saman tyyppisesti .doc -> .rtf jne muunnokset voi ajaa virtuaalikoneessa, jonka jälkeen virtuaalikone alustetaan alkuperäiseen versioonsa ja "puhdistetut" tiedostot voidaan haluttaessa viedä isäntäkoneelle. Pääsääntöisesti kaikki ulkoinen liikenne tosin voi pysyä siellä virtuaalikoneessa, jonka voi tarvttaessa alustaa muutamissa sekunneissa helposti.

    Nettiselaimet, pdf-readerit, makro-ohjelmoitavat office-ohjelmistot ja sähköpostinlukuohjelmat ovat varsin tietoturvattomia ja moisia ei oikeasti pitäisi ajaa kotikoneilla lainkaan...
     
  22. Harmaaparta

    Rekisteröitynyt:
    28.03.2008
    Viestejä:
    29
    http://www.gmer.net löytyy rootkit remover
     
  23. Hewi

    Rekisteröitynyt:
    11.03.2004
    Viestejä:
    7 435
    Googlen palvelut lukevat selaimessa pdf,docit,excel sheetit (tietyin rajoituksin tietenkin), joten tuo nyt on ainakin yksi taso, joka korottaa tietoturvaa sen sijaan että kyseisiä liitteitä avaisi oman koneen ohjelmalla.
     
  24. escalibur

    Rekisteröitynyt:
    27.12.2000
    Viestejä:
    18 216
    Sun Java JDK / JRE Multiple Vulnerabilities


    Critical: Highly critical


    http://secunia.com/advisories/34451

    ..ei hyvältä näytä. Ite pidän Javan poistettuna koko ajan ja asennan sen vaan silloin kun oikeasti tarviin.

    [signature]Q6600 (G0) @ 3,52GHz | P5K Deluxe | 8800GTS 512MB + Accelero S1 rev. 2 @ 750/1880/1000 | 2x 2GB XP6400 800MHz @ 1056MHz | T166 500GB | 2232BW 22" | SH-S203B | P182 | HX 520W | NH-U12F | G5 7-näppäintä | Vista x64 Business | Apple Keyboard ::::: e-mail contact :::::[/signature]
     
  25. Griffin

    Rekisteröitynyt:
    29.11.1999
    Viestejä:
    13 662
    !HUOM confiker aktivoituu 1.4.!

    Scanneri:
    http://www.doxpara.com/?p=1291

    Lataa.
    Pura.
    Aja komentokehotteessa:
    scanner.exe 1.2.3.4

    Jossa 1.2.3.4 on koneen / koneesi IP. En tiedä, toimiiko palomuurien läpi.

    http://www.madshrimps.be/vbulletin/f22/conficker-breakthrough-malware-leaves-fingerprint-infected-machines-62570/#post234478

    Confickerin poistotyökaluja
    http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
    http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
    http://www.bdtools.net/

    Conficker Q&A
    http://www.f-secure.com/weblog/archives/00001636.html

    Viruksesta tietoja:
    http://mtc.sri.com/Conficker/addendumC/
    http://en.wikipedia.org/wiki/Conficker

    Autorunin disablointi oikeaoppisesti:
    http://support.microsoft.com/kb/967715

    JOS EPÄILET KONEEN SAASTUNEEN, KATKAISE VERKKOYHTEYS HETI. Tuo sopivat siivousohjelmat koneelle esim poltetulla cd:llä, älä käytä USB tikkuja, jos et tiedä tismalleen, mitä teet![signature]!!Don´t read this!! You did it!! Bad Bad!![/signature]
     

Jaa tämä sivu