Kirjoittaja Aihe: Tietoturvaketju  (Luettu 1404 kertaa)

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Tietoturvaketju
« : 10.11.22 - klo:15.13 »
Tähän ketjuun pohdintaa tietoturvasta.

Pitäisikö tietokoneen BIOSia joskus päivittää? Luin jostain, että mm. Lenovon koneissa oli havaittu haavoittuvuuksia BIOSissa. En ymmärrä lainkaan miten nuo toimivat. Kellään hyvää linkkiä aiheeseen?
« Viimeksi muokattu: 15.11.22 - klo:15.28 kirjoittanut Timo Tamminen »

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #1 : 10.11.22 - klo:15.45 »
Lenovon tietoturvailmoituksista on kooste sivulla https://support.lenovo.com/fi/fi/product_security/ps500001-lenovo-product-security-advisories, jolle sivu itse kehottaa tekemään kirjanmerkin. Itse tykkään seurata tiedotteita RSS-syötteen avulla.

konetta hankkiessa kannattaa Lenovon tukisivustolta aina napata kirjanmerkiksi juuri tasan kyseisen mallin tukisivu, jolta päivityksiä voi ladata. Useimmat päivitykset ovat vain Windowsille, mutta BIOS-päivityksistä Lenovo julkaisee aina myös Bootable CD -version, jonka avulla BIOS:n voi päivittää vaikka Windows olisi jo jyrätty. Tosin nykyiselle Ubuntu-koneelleni sellainen on viimeksi julkaistu vuonna 2018.

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #2 : 10.11.22 - klo:16.23 »
Lenovon tietoturvailmoituksista on kooste sivulla https://support.lenovo.com/fi/fi/product_security/ps500001-lenovo-product-security-advisories,

Koitin tutkia, mutta ei tuolta löytynyt kuin noita päivityksiä windows-koneisiin. Eikö kuitenkin BIOS ole järjestelmäriippumaton osa läppäriä? Voiko olla, ettei liki 10v vanhoille koneille ole yhtään päivitystä tarjolla? Esim. Lenovo X240.

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #3 : 10.11.22 - klo:16.34 »
Minähän sanoin että tuolla on tiedotteita ja että varsinaiset päivitykset täytyy hakea konemallikohtaisilta sivuilta. Sinun täytyy löytää juuri sinun koneesi mallin mukainen tukisivu, jonka kautta löytyy sen oikean "BIOS Update (Bootable CD)"-paketin lataus.

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #4 : 10.11.22 - klo:16.37 »
Koneen päälle merkityn mallin lisäksi saattaa joskus olla tarpeen tietää "type model". Sen saa selville komennolla
Koodia: [Valitse]
cat /sys/devices/virtual/dmi/id/product_nameMuita:
Koodia: [Valitse]
cat /sys/devices/virtual/dmi/id/sys_vendor
cat /sys/devices/virtual/dmi/id/product_version
(viimeinen on ainakin mun läppärissä se kanteen merkitty nimi).
« Viimeksi muokattu: 10.11.22 - klo:16.42 kirjoittanut AimoE »

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #5 : 10.11.22 - klo:17.24 »
Koneen päälle merkityn mallin lisäksi saattaa joskus olla tarpeen tietää "type model". Sen saa selville komennolla
Koodia: [Valitse]
cat /sys/devices/virtual/dmi/id/product_name

Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.

Ehkä tuo pitää lukea niin, että BIOS on riittävästi ajan tasalla.


Eesaurus

  • Käyttäjä
  • Viestejä: 3350
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #6 : 10.11.22 - klo:17.26 »
Tuosta tapauksesta en tiedä, mutta sinänsä BIOSia ei ole tietääkseni välttämätöntä päivittää, ellei tiedä siitä olevan itselle/koneelle jotain konkreettista hyötyä.

Minä päivitän kuitenkin ehkä kerran vuodessa tjs, jos päivityksiä on tarjolla. Pieni riskihän se joka kerta on, mutta itse en ole koskaan ongelmiin törmännyt sen 10-15 päivityksen kanssa, mitä olen vuosien varrella eri koneisiin tehnyt. 

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #7 : 10.11.22 - klo:17.32 »
Tuosta tapauksesta en tiedä, mutta sinänsä BIOSia ei ole tietääkseni välttämätöntä päivittää, ellei tiedä siitä olevan itselle/koneelle jotain konkreettista hyötyä.

Minä päivitän kuitenkin ehkä kerran vuodessa tjs, jos päivityksiä on tarjolla. Pieni riskihän se joka kerta on, mutta itse en ole koskaan ongelmiin törmännyt sen 10-15 päivityksen kanssa, mitä olen vuosien varrella eri koneisiin tehnyt.

Kuten alussa sanoin, etten paljoa näistä ymmärrä, mutta törmäsin tällaiseen.

https://support.lenovo.com/us/en/product_security/LEN-94952

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #8 : 10.11.22 - klo:17.33 »
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Et ole etsimässä Linuxia, vaan BIOS-päivitystä. Sieltä pitäisi löytyä "Ajurit ja ohjelmistot" (suomeksi tai enkuksi) ja sen alta ladattavien luokat ja luokan BIOS/UEFI sivulta viimeisin BIOS-päivitys.

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #9 : 10.11.22 - klo:17.53 »
Kiitos. Tuolla löytyi kyllä Tuki-sivulta molemmat koneet, mutta niille vain Windowsiin liittyviä tärkeitä päivityksiä. Kun klikkasin "Riippumaton käyttöjärjestelmä" tai "Linux" niin ei mitään.
Et ole etsimässä Linuxia, vaan BIOS-päivitystä. Sieltä pitäisi löytyä "Ajurit ja ohjelmistot" (suomeksi tai enkuksi) ja sen alta ladattavien luokat ja luokan BIOS/UEFI sivulta viimeisin BIOS-päivitys.

Näin minä mielstäni etsin, mutta tuolta voi valita myös käyttiksen

https://pcsupport.lenovo.com/fi/fi/products/laptops-and-netbooks/thinkpad-x-series-laptops/thinkpad-x240/20al/20al008ems/downloads/driver-list/component?name=BIOS%2FUEFI

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #10 : 10.11.22 - klo:18.01 »
Valitset sen Bootable CD:n, niin voit tehdä asennuksen irtotaltiolta. Itselle ei ole vielä tullut se operaatio eteen, joten enempää en osaa neuvoa.

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #11 : 10.11.22 - klo:18.27 »
Lähinnä nyt kiinnostaisi, että onko joku BIOS-päivitys ylipäätään tarpeen? Tuo kuvauksen mukaan en näe tarvetta.

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #12 : 10.11.22 - klo:18.29 »
Mitä ehdin vilkaista kuvauksia noista haavoittuvuuksista, niin ne jotka näin olivat kaikki sellaisia, joissa murtautuminen aatii fyysisen pääsyn koneelle. Lopetin lukemisen aika äkisti.

Löysin ohjeen: https://www.cyberciti.biz/faq/update-lenovo-bios-from-linux-usb-stick-pen/ mutta en ole itse sitä kokeillut.

startx

  • Käyttäjä
  • Viestejä: 402
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #13 : 10.11.22 - klo:21.17 »
Lähinnä nyt kiinnostaisi, että onko joku BIOS-päivitys ylipäätään tarpeen? Tuo kuvauksen mukaan en näe tarvetta.

Kannattaa lukaista julkaisumuistio. Monesti on jokin hyvin speciaali ongelma, mikä on päivityksessä korjattu, jolloin ei ole tarvetta päivitellä. Joskus voi tuoda huomattaviakin parannuksia toimintaan, kuten aikoinaan Ryzenin julkaisun jälkeen ostamani kokoonpano alkoi vasta varmaan kymmenennen bios päivityksen jälkeen toimimaan kaatuilematta.

Eräs toinen kone ei taas Linuxia saanut asennettua, mutta bios päivityksessä oli jokin windows 7 asennukseen liittyvä korjaus tehty, jonka jälkeen toimi Linuxikin siinä.

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #14 : 11.11.22 - klo:07.35 »
Kyse ei olekaan pelkästään BIOS:n haavoittuvuudesta: https://support.lenovo.com/fi/fi/product_security/ps500513-third-party-bootloader-vulnerabilities (ihan tuore tiedote)

raimo

  • Käyttäjä
  • Viestejä: 3848
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #15 : 11.11.22 - klo:08.46 »
Koodia: [Valitse]
[raimo@kone-3 ~]$ cat /sys/devices/virtual/dmi/id/product_name
HP EliteDesk 800 G1 SFF

Kone on jo niinsanotusti "iällä" oliskohan 2016?
Mutta silti viimeksi eilen tuli automaattinen päivitys HP:ltä.
Ne tulee koneen käynnistyessä, sen vertaa enempää kyselemättä asentuu sinisessä ikkunassa.

Tämä ei nyt Lenovoon liity, onhan vain esimerkki siitä että koneen valmistaja voi hoitaa asiat jos niin haluaa. Kyseessä on vanha  yritys-pöytäkone.
« Viimeksi muokattu: 11.11.22 - klo:09.57 kirjoittanut raimo »
So long and thanks for all the fish!

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #16 : 11.11.22 - klo:13.05 »
Kyse ei olekaan pelkästään BIOS:n haavoittuvuudesta: https://support.lenovo.com/fi/fi/product_security/ps500513-third-party-bootloader-vulnerabilities (ihan tuore tiedote)

Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.

AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #17 : 11.11.22 - klo:13.17 »
Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.

Sama kokemus Edge-sarjan koneesta, joka minusta on yrityskäyttöön tarkoitettu.

Tämä ei nyt Lenovoon liity, onhan vain esimerkki siitä että koneen valmistaja voi hoitaa asiat jos niin haluaa. Kyseessä on vanha  yritys-pöytäkone.

Niinpä.

Snufkin

  • Käyttäjä
  • Viestejä: 383
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #18 : 11.11.22 - klo:13.32 »
Taitaa olla mu koneet jo niin vanhoja, ettei niille tehdä enää noita päivityksiä. T420 ja X240 käytössä.

Sama kokemus Edge-sarjan koneesta, joka minusta on yrityskäyttöön tarkoitettu.

Nää kans molemmat käytettyjä yritysläppäreitä.

Tuohon tietoturvaa otan nyt sen asenteen, että pyrin kryptaamaan tietoa koneella. Se ainakin turvaa tiedot läppärin hukkaamisen/varastamisen tapauksessa. Hakkerointiin/haittaohjelmiin ei ehkä niin hyvä suoja, jos kryptattu tiedosto/osio on auki, kun käytössä.

Salasanat suojatuvat kohtuullisesti Firefoxin master passwordilla ja tietovarastot tuolla LUKS-osiolla.

Mikähän mahtaisi olla hyvä ja "state of the art" ohjelma, jolla voi luoda kryptattuja tiedostoja? Verakryptiä joskus käyttänyt, mutta siitä aikaa. Sillä voisi tehdä pilveen varakopioita, joissa hyvä tieturva.


AimoE

  • Käyttäjä
  • Viestejä: 2469
    • Profiili
Vs: Tietoturvakejtu
« Vastaus #19 : 11.11.22 - klo:13.43 »
Mikähän mahtaisi olla hyvä ja "state of the art" ohjelma, jolla voi luoda kryptattuja tiedostoja? Verakryptiä joskus käyttänyt, mutta siitä aikaa. Sillä voisi tehdä pilveen varakopioita, joissa hyvä tieturva.

Yksi vaihtoehto tuli vastaan täällä palstalla ja tuli laitettua itselle kirjanmerkiksi, mutta en ole vielä vaivautunut ottamaan käyttöön, vaikka koko ajan olen aikeissa. Olen käyttänyt viime aikoina Tomb:a, joka löytyy pakettivarastosta.