Viestit

41

Yleistä keskustelua / Vs: wpa2 on murrettavissa ...

« : 17.10.17 - klo:19.24 »

Hei! Voisko joku valistaa vanhaa, miksi juuri Linux on erityisen haavoittuva?  Ikävää jos windows ja ios saavat tästä aiheetonta mainosta.

Haavoittuvuuden sivusto: https://www.krackattacks.com, josta alla oleva lainaus. Siis kättelyn mennessä rikki, asiakas (linux, android client) jatkaa aina samalla avaimella, joka on kaikki nollia.  Selittää miksi client korjaus riittää. Mutta myös WLAN tukiasema, joka voi olla asiakas tulisi korjata.

"Android and Linux

Our attack is especially catastrophic against version 2.4 and above of wpa_supplicant, a Wi-Fi client commonly used on Linux. Here, the client will install an all-zero encryption key instead of reinstalling the real key. This vulnerability appears to be caused by a remark in the Wi-Fi standard that suggests to clear the encryption key from memory once it has been installed for the first time. When the client now receives a retransmitted message 3 of the 4-way handshake, it will reinstall the now-cleared encryption key, effectively installing an all-zero key. Because Android uses wpa_supplicant, Android 6.0 and above also contains this vulnerability. This makes it trivial to intercept and manipulate traffic sent by these Linux and Android devices. Note that currently 50% of Android devices are vulnerable to this exceptionally devastating variant of our attack."

Viestintäviraston Cyberturvallisuuden haavoittuvuustiedotteet kannattaa lukea: https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2017/haavoittuvuus-2017-033.html

42

Yleistä keskustelua / Vs: wpa2 on murrettavissa ...

« : 16.10.17 - klo:20.00 »

https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2017/haavoittuvuus-2017-033.html

Hyökkäystapa paikallisesti, mikä tarkoittaa, että hyökkääjän päästävä WLAN-kantaman päähän tukiasemasta ja asiakaslaitteesta

En siis usko, että olen ensimmäisiä kohteita ...

43

Yleistä keskustelua / Muka tietoturva-aukko -uhka

« : 19.08.17 - klo:11.14 »

Autojen elektroniikkajärjestelmät murrettu – tarvittiin vain yhden bitin kääntäminen    http://www.tivi.fi/Kaikki_uutiset/autojen-elektroniikkajarjestelmat-murrettu-tarvittiin-vain-yhden-bitin-kaantaminen-6670263
Seuraavaksi uutisoidaan varmaan, että talon saa sähköttömäksi kääntämällä pääkytkimestä ...
Tällaiset lyhyet 'iltalehti' -jutut jostain monimutkaisesta väylästä, kuten CAN, aivan älyttömiä.

Minkä tahansa väylän, johon pääsee fyysisesti käsiksi voi 'häkkeröidä" kolvilla, tinalla ja pätkällä lankaa  .  Jos laitteeseen pääsee fyysisesti käsiksi kyllä sen saa epäkuntoon ilman minkäänlaisia tietoteknisiä taitoja ...

CAN ja sulautetut järjestelmät, jotka nykyään ovatkin osa ihan uutta IoT :a,  ovat olleet käytössä jo 1990-luvulta asti ...

Muokkaus (Tomin): Korjasin linkin.

44

Yleistä keskustelua / Vs: Miten Google Prompt olisi turvallisempi kuin tekstiviesti?

« : 17.07.17 - klo:13.43 »

Tämä ehkä selittää, koska SMS voisi olla turvattomampi, http://www.tivi.fi/Kaikki_uutiset/tiukat-turva-asetukset-suojaavat-google-tiliasi-nain-ne-ohitetaan-vaivatta-6655504
Tällä siis estetään yhden huijaustavan käyttö. Mutta kun ensimmäisessä viitteessä puhuttiin, jos liittymänumeron saa haltuunsa, joilloin ei näillä kyllä ole yhtään mitään eroa.  Tunnukset on menetetty.
Siis miksi kotimaistenkin asiantuntijamedioiden jututkin on tällaisia 'iltalehti'-juttuja, että pitää ihmetellä että mitä, mitä ...

45

Yleistä keskustelua / Miten Google Prompt olisi turvallisempi kuin tekstiviesti?

« : 17.07.17 - klo:11.42 »

Tietoviikossa oli tällainen http://www.tivi.fi/Kaikki_uutiset/google-kehottaa-luopukaa-tekstiviestivahvistuksesta-6663525

Minulta jäi tietotekniikasta ja tietoliikenteestä mielestäni jotain ymmärtävänä, ymmärtämättä miten tietoturvallisuus paranee.
Ehkä täällä joku osaisi selittää niin, että minäkin ymmärtäisin? 

Sen minä kyllä ymmärrän,  että tekstiviestistä Google voi joutua ihan vähän maksamaan eli suositeltu vaihtoehto on halvempi...

46

Yleistä keskustelua / Vs: Unity8:n kehitys loppuu - Ubuntu 18.04 LTS tulee GNOME työpöydällä

« : 05.04.17 - klo:21.53 »

Ikävintähän tässä on kaikki Unityyn käytetty aika ja panostus, joka olisi voitu käyttää johonkin muuhun.  Toivottovasti Mark ja Canonical myös saavat jostain rahaa, sillä kyllähän Ubuntun kehittäminen ihan rahaakin vaatii. Mark Shuttleworthin rahatkaan eivät loppumattomia ole, jos ei jostain tule lisää. Vaikka itse en Unitystä ikinä tykännyt ja olen sitä onnistunut välttämään niin silti ei tämä kauhean hyvältä vaikuta.

47

Yleistä keskustelua / Vs: Let's Encrypt ja verkko-ostot

« : 27.03.17 - klo:20.01 »

"During the past year, Let's Encrypt has issued a total of 15,270 SSL certificates that contained the word "PayPal" in the domain name or the certificate identity.

Of these, approximately 14,766 (96.7%) were issued for domains that hosted phishing sites, according to an analysis carried out on a small sample of 1,000 domains, by Vincent Lynch, encryption expert for The SSL Store."

Näin siis kirjoittaa SSL sertifikaatteja rahasta myyvän firman edustaja ilmaisista Let's Encrypt sertifikaateista.

Hänestä siis Let's Encrypt ei saisi myöntää näitä serifikaatteja, mutta joku saa rahasta myydä näitä domain nimiä, jotka sisältää sanan 'PayPal' tai kaiketi pitäisi olla 'paypal'

Siis todellinen syyhy on ilmaisuus. Sitten kun joku vielä lainaa kirjoitusta lyhyesti niin juttu muuttuu entistä hassummaksi.

SSL sertifikaatti joka on myönnetty domainille 'jotain-paypal-jotain' ei siis tarkoita, että olet PayPal verkkomaksupalveluyrityksen sivulla. Selitys, että joku muu tarkistaa millä sivulla olet on aika mahdoton, kun 'ajatuksen luku' ei taida vielä olla todellisuutta.

Maailmassa on lisäksi tuhansia muita verkkomaksuja välittäviä yrityksiä, joten yhden tai muutaman nimen sisältymisen tarkistaminen ei riitä alkuunkaan.

Maksettukaan SSL sertifikaatti sivustolla siis ei suojaa 'phishingiltä' sivustolla vierailijaa, vaikka serifikaattien myyjä niin antaisi ymmärtää.

48

Yleistä keskustelua / Let's Encrypt ja verkko-ostot

« : 27.03.17 - klo:16.22 »

Kaikenlaisia salausasiantuntijoita http://www.tivi.fi/Kaikki_uutiset/varo-huijaussivuja-turvafirma-mokasi-nyt-et-tunnista-enaa-aitoa-vaarennoksesta-6636257
Mistähän 'asiantuntija' tai kukaan on saanut päähänsä että Let's Encrypt sertifikaatti tarkoittaa, että Let's Encrypt sertifikaatti varmentaa verkkokaupan luotettavuuden?
Ko sertifikaattia käytetään palvelimen ja selaimen välisen yhteyden salaamiseen ja sen varmistamiseen, ettei kuka tahansa väliin päästessään näe kaikkea selväkielisenä.
Ei siis kerro yhtikäs mitään palvelimen pystyttäneen luotettavuudesta!
Kenenhän luotettavuudesta ja asiantuntevuudesta ko. juttu on osoitus?

49

Yleistä keskustelua / Vs: Käärme paratiisissa?

« : 01.01.17 - klo:09.53 »

Kaikki pyritään tekemään niin helpoksi ja vaivattomaksi. Et edes huomaa tilaavasi ja maksavasi.
Lähimaksu on ihan samaa sarjaa.
Kyllä tilaajan, maksajan pitäisi joutua näkemään sen verran vaivaa, että tietää maksavansa.

Kaikki yhden puhelinliittymän takana, helpolla, täysin huomaamattomasti. Kun hankit puhelinliitymän saat pyytämättämäsi luottokortin, henkilöllisyystodistuksen (tämä vaatii sentään, vielä toistaiseksi, mobiilivarmenteen tilaamisen erikseen), dataliittymän ja ties mitä ...

Kaiken tuon käytöstä vastaat sinä. Jos puhelin täytyy pitää rf-suojattuna, lukitussa murtovarmassa kotelossa niin ei se enää niin kauhean helppokäyttöistä enää olekaan 

Yksi käärmeistä on helppous, vaivattomuus. Kauppa, jossa ei tarvitse käydä lainkaan kassalla, lasku tulee kun liikut kaupassa.

50

Yleistä keskustelua / Vs: Ubuntun sovelluskauppa

« : 12.12.16 - klo:19.22 »

Täytyy nyt tähän mikä alkuunkaan 'ei ole piristystä päivään' ottaa kantaa.

Kyllä Canonical voi tehdä kuten Google omassa Play kaupassaan on tehnyt. Androidhan on Linux, johon Richard Stallman kyllä tekisi tunnetun korjauksensa ...
(Meinas mennä tämäkin off topiciksi  )

Siis mitään laillista estettä ei ole

Kysymys on siis miten käyttäjät reagoisivat asiaan ja mitä muuta siitä seuraisi ...

Häviäisivätkö käyttäjät kuin tuhka tuuleen?

Minusta ollaan lähellä tätä oman koneen hakujen lähetystä Amazonille. Jos tarkoitus on tilin avulla 'urkkia' lisää tietoja käyttäjistä tyyliin Google, Facebook, Microsoft niin kyllä oikeasti alan etsiä muita vaihtoehtoja Ubuntun käytölle.
Eikä auta selittäisi Mark Shuttleworth mitä hyvänsä.

51

Yleistä keskustelua / Vs: Piristystä päivään

« : 09.12.16 - klo:09.52 »

lainaus Tivistä:

"Canonical keskittyy jälleen johonkin uuteen. Ubuntun kehityksestä vastaava Canonical vaihtaa fokustaan kuin sukkia. Yhdessä vaiheessa yhtiö oli keskittynyt täysin työpöydille, mutta tämän jälkeen suunta vaihtui mobiililaitteisiin. Lunduke ennustaa suunnan muuttuvan jälleen ensi vuonna, mutta mihin, sitä mies ei uskalla arvailla."

Tivin juttukin http://www.tivi.fi/Kaikki_uutiset/linux-haisee-ja-nain-sille-kay-ensi-vuonna-6606003 on lainaus, jostain muualta.

52

Yleistä keskustelua / Vs: "Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it..."

« : 09.12.16 - klo:09.46 »

Tänään tuli Google Analyticsissä vastaan "Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!" (käyttäjien käyttöliittymäkielenä).

Joku blackhat tässä on taustalla, mutta mitä se tarkoittaa sivuston ylläpitäjien ja analytiikasta vastaavien osalta?

Kaikkien hätäisten lukijoiden kannattaa huomata, että viitattu sivusto ei google.com vaan ihan muuta!!
JASU huomasi varmaan juuri sen ja silloin alkoi hälytyskellot soida. Onhan siinä kyllä muutakin epäilyttävää.

Kun domainnimissä sallittiin ääkköset jne avattiin samalla varmaan ihan huomaamatta yksi huijausmahdollisuus,  jota tässä käytetään hyväksi.  Ensimmäinen merkki ei ole g eikä G vain merkki joka on hyvin samannäköinen kuin G.

Kuinka moni huomasi, että merkki ei ole G?

Kuinka moni tavallinen netin käyttäjä huomaa, että merkki ei ole G?

Linkit ovat webissä erittäin tärkeä ja oleellinen ominaisuus, mutta myös yksi vaarallisimmista ominaisuuksista, jos halutaan huijata.
 

53

Yleistä keskustelua / Vs: Ei kannata pyyhkiä modernia konetta tyhjäksi rm -rf:llä

« : 04.02.16 - klo:06.36 »

"Ongelma", jota yritettiin ratkaista: Windowsin tilalle laitteelle voi asentaa  helposti minkä tahansa muun käyttöjärjestelmän, ja käynnistysosiotakin voi "sorkkia"

"Ratkaisulla" koneesta saa helpolla verkonpainon, johon ei voi asentaa yhtään mitään, mutta kyllä laitteen "sorkkiminen" on tosiaan mahdotonta. Ei siis epäonnistuttu, vain pieni mitätön sivuvaikutus.

Mikään ei ole niin viisas kuin ihminen paitsi ison yrityksen "tuotekehittelijä"

Oikeastihan tämä kuuluisi osastoon "piristystä päivään", vaan kun ei oikein insinööriä naurata ...

Tämä on tosielämän Dilbertiä

54

Yleistä keskustelua / Vs: Softa avoimen lähdekoodin ohjelmaksi

« : 14.01.16 - klo:05.58 »

Hurjasti kiitoksia taas! Softaa käyttää käyttäjäkunta (ilmeisesti vain suomalaisia), joka ei ole experttejä tietokoneen kanssa. Heille olisi tärkeää, että softan nykyinenkin versio olisi jossain ladattavana. Sekin luultavasti kadonnut tekijän kuoltua. Kehittämiseen saattaa tulla uusia ihmisiä mukaan.

Toinen ohjelmisto on asetettu BSD-lisenssin alaisuuteen. Mutta koodit on copyrightattu kuolleelle tekijälle. Minusta se tuntuu kummalliselta. Uusi projektiin tuleva koodaaja tekee siis tämän alkuperäisen ohjelmoijan nimiin vapaaehtoista koodaustyötä. Sinänsä se ei ole mikään ongelma. Mutta ielestäni noita copyrightejä ei kai enää saisi olla BSD-lisenssin jälkeen.

Käytä Muokkaa toimintoa jos asia ei oleellisesti muutu -Storck

Vain alkuperäisen koodin tekijänoikeus on edesmenneellä tekijälle, Vapaasta BSD koodista tehdyn muutetun koodin muutosten tekijänoikeus on niiden tekijöillä ja heillä on oikeus lisätä oma tekijänoikeus lauseensa lähdekoodiin, kunhan eivät poista alkuperäistä. Muutetun koodin lisenssi voi BSD:n kohdalla olla BSD, GPL tai vaikka suljettu, Jos edesmenneen koodi julkaistaan GPL:llä niin sen muutetun version koodin on oltava GPL, mutta kyllä muutosten tekijöillä on tekijänoikeus koodiinsa silloinkin, mutta he lisenssoivat levittämänsä koodin GPL:n ehtojen mukaisesti.

Oleellinen kysymys on, kuten kaikkien sukututkimuksen harrastajien pitäisi tietää, onko jossain dokumentti (alkuperäinen tai kopio), eli lähdekoodi tallella. Jos lähdekoodia ei ole tallella ei sitä voi käyttää millään lisenssillä (vrt kirkonkirjojen palaminen tulipaloissa)

Kaikissa näissä ohjelmistolisenseissä on vastuuvapautus lauseke. GPL edellyttää lisäksi, että koodinjakaja jakaa myös lähdekoodin, vaan ei BSD:kään lähdekoodien jakamista estä tai kiellä.

GPL pyrkii aukottomasti varmistamaan lähdekoodin saatavuuden aina. BSD, kun on yliopistosta peräisin, uskoo ideaaliseen täydelliseen akateemiseen vapauteen, joka ei ole sama kuin GPL:n ideaalinen vapaus. Vapauksiakin on erilaisia.

Vastuuvapautuslauseke:
En anna lainopillisia tai muitakaan neuvoja, enkä takaa mitään kirjoittamani oikeellisuudesta, hyödyllisyydestä, käytettävyydestä tai mistään muustakaan. Joku voi edellä olevasta löytää jotain mitä pitää hyödyllisenä, jolloin hän voi käyttää sitä omalla vastuullaan (-;

 

55

Yleistä keskustelua / Vs: Softa avoimen lähdekoodin ohjelmaksi

« : 13.01.16 - klo:18.50 »

Perikunnan kannalta mutkattomin lisenssi olisi BSD lisenssi, joka ei aseta mitään vaatimuksia ja on yksinkertainen ja ymmärrettävä, ilman lakimiehiäkin ...
Avoimen kehityksen kannalta FreeBSD on paras mahdollisten jatkokehittäjien kannalta, koska se on myös GPL yhteensopiva.

En henkilökohtaisesti usko, että kenelläkään löytyy halua maksaa tämän luovutuksen yhteydessä asianajajille. Ko ohjelma ei käsitykseni mukaan ole mikään kultakaivos,
Ilkka voisi minusta kertoa muillekin, jotka ehkä eivät tiedä kuten minä ja hän,  mistä ohjelmasta on kysymys.

56

Yleistä keskustelua / Vs: Älytelevisio kuuntelee keskustelusi?

« : 02.06.15 - klo:10.22 »

Tämä ehtojen muuttaminen toimittajan taholta ilmaisohjelman tai -palvelun käyttöönoton jälkeen on ihan normaalia . Niinhän Google ja Facebookin tekevät, eikä yksittäinen käyttäjä voi kun hyväksyä tai lopettaa käytön.
Hola tapauksessa ehtojen muutos on ehkä kuitenkin vielä arveluttavampaa.
Myös se, että yksi VPN:n käytön peruste on yleensä myös tietoturvan ja yksityisyyden parantaminen, tekee tästä tosi arveluttavan tapauksen.
Olipa toiminta sitten tarkoituksellista tai tyhmyyttä, sillä ei ole niin suurta merkitystä.

57

Yleistä keskustelua / Vs: Älytelevisio kuuntelee keskustelusi?

« : 01.06.15 - klo:13.28 »

Ilmainen Hola VPN https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-045.html

Kyllä sitä vaan pitäisi lukea ehdot tarkkaan, että ymmärtää mihin suostuu, kun asentaa 'ilmaisen' sovellutuksen.

58

Yleistä keskustelua / Vs: Tietokone tuli huollosta toimimattomana.

« : 17.05.15 - klo:17.04 »

Mobiiliyhteyden kanssa on sitten sekin mahdollisuus, ettei alueella ole kerta kaikkiaan kapasiteettia. Väliin kun on käyty kaverin mökillä Kustavissa niin varsinaisen kesämökkeilykauden aikana ei kerta kaikkiaan saa sen paremmin 3G:llä kuin 4g:lläkään kunnollista yhteyttä. Keväällä ja myöhään syksyllä saa. Epäilenpä että tukiasema on mitoitettu vakiasutuksen mukaan, eikä kykene käsittelemään liikenteen moninkertaistumista.

Niin omassa tapauksessa epäilen kyllä samaa, nopeus riippuu täysin käytöstä, joka vaihtelee tilanteesta ja ajasta riippuen tosi paljon

Mutta alkuperäisestä jutusta edelleen kiinnostaisi tietää mikä oli ko Saunalahdelta hankitulla koneella käytetty nettiyhteys, kun tätä hyytymistä esiintyi.
Minusta ihan kaikenlaista yritettiin, mutta käytetystä nettiyhteydestä ei minusta missään kohtaa ollut  mainintaa. Saattoi mennä minulta ohi, mutta kun vaikuttaa niin käsittämättömältä koko juttu.

59

Yleistä keskustelua / Vs: Tietokone tuli huollosta toimimattomana.

« : 17.05.15 - klo:13.20 »

Myös alkuperäisen viestin tarkoitus jäi minulle hieman epäselväksi.

Sanottiin, että näin voi käydä, mutta oliko kyseessä kuitenkin jonkinasteinen kysymys, johon haluttiin neuvoa?

Mutta minun kohdallani ei ollut tarkoitus kysyä vaan kertoa miksi niin voi käydä. Kukaan ei ehkä vastaa koneen, verkon, käyttöjärjestelmän ja muiden ohjelmien muodostamasta kokonaisuudesta ainakaan tavallisen käyttäjän kannalta.

60

Yleistä keskustelua / Vs: Tietokone tuli huollosta toimimattomana.

« : 17.05.15 - klo:12.56 »

Kyllä tiedetään vaikka onkin insinööri  , että kaikenlaisia antenneja löytyy ja että reitittimeenkin saisi australialaisen hämähäkin eli Huntsmanin. Australialainen sähköasentaja on muuten spark 

Siis yritin esittää, että tietokonehuollossa ei tiedetä mitään käyttöpaikan olosuhteista. Toisaalta tietoliikenneoperaattorit eivät lupaa minimeissään yhtään mitään, kyllä nämä kuuluvuuskartat on välillä aika optimistisia todellisuuteen verrattuna. 3G on myös huomattavasti tasaisempi kuin 4G ei juuri 10M enempää tai 7M vähempää ja paluusuunta tasainen 3M, siis ainakin minun kohdallani.

Antennit ovat sitten 90 asteen kulmassa niin siten saadaan kaikki heijastukset tukiasemalta hyödyksi. Paluusuunnalla tarkka suuntaava antenni varmasti parantaisi tilannetta, kun vielä tiedän tukiaseman tarkan sijainnin, vaikka operaattorit eivät sitä paljasta. Mutta onko ruuhka-ajan kapasiteetti riittävä onkin vaikeampi kysymys johon operaattorilta voi olla vaikea saada 'kunnon' vastausta. Tukiaseman lähellä on sekä golf-kenttä, että moottorirata ja niihin liittyvää vapaa-ajan asutusta ja mökkimajoitusta. Siis kellonajan lisäksi myös vuodenaika vaikuttaa käyttäjämääriin.

Joskus nuorempana tästä laitteiden virittämisestä jaksoi innostua. Nyt  välillä haluaisi vain käyttää, kun kaikenlaista on viritellyt ihan riittävästi. Mikä tarkoittaa, että ehkä itse tyydyn 3G:hen, jos sen vielä saa muutaman euron halvemmalla

Liikkuvia osia on vaan niin monta, että kyllä siinä välillä ihmettelee, kuka vastaa kokonaisuudesta. Tämän oli tarkoitus olla oma viestini.

Mahdoinkohan paljastaa liikaa sijainnistani vaikka WLAN paikannuksella olen toivottavasti useimmille 24/7 Tampereen rautatieasemalla

PS Kyllä mokkulan tehonsyöttöäkin on jo parannettu