Tietoturva ja h4x0r

[MtJ]

PGP olis muuten hyvä. Käytin joskus itse sitä oikeitten käyttöjärjestelmien puolella.

[kaik]

Joo. Se vaan on mulle jäänyt lieväksi mysteeriksi, miksi PGP:stä ei kuitenkaan tullut maili-ohjelmien vakio-ominaisuus. Toki mm. salausalgoritmien vientikielloilla ja sellaisilla on ollut osuutta asiaan, mutta saihan http:kin oman https:n ja SSL:n.

Siksi koska Yhdysvaltain lainsäädäntö ei ole sallinut niin tehokkaan salauksen viemistä ulkomaille. HTTPS:stä ja SSL:stä en tiedä onko missä maissa kehitetty, mutta PGP:hän on (ilmeisesti) jenkkilähtöinen. Tarinan mukaanhan lähdekoodit on alunperin viety maasta tulostettuna ja ohjelma uudelleenkirjoitettu jossain lievemmän lainsäädännön maassa.

[MaKo]

Siksi koska Yhdysvaltain lainsäädäntö ei ole sallinut niin tehokkaan salauksen viemistä ulkomaille.

Tämä siis koskee kaikkia niitä maita, jotka ovat USA:n hallituksen mielestä vihamielisiä. Lisäksi tehokkaita salausalgoritmejä ei saa viedä maihin, jotka eivät "kunnioita" tätä USA:n hallituksen kategoriointia. Suomen osalta ongelmaa ei ole, koska me ollaan allekirjoitettu Wassenaarin sopimus... EDIT: Ja siis tämä koko asiahan juontaa juurensa siihen, että USA kategorioi vahvat salausalgoritmit aseteknologiaksi. Sitä kautta ne ovat sitten USA:n aseiden vientilainsäädännön alaisia.

Mutta jeps, tämä on siis ollut yksi syy sille, ettei PGP yleistynyt, mutta jostain syystä http sai salauksensa, sähköposti ei. Liekö sitten osasyynä se, että mailisysteemi on http:tä vanhempi ja sitä kautta salaustarpeeseen ei alkuperäisissä RFC:issä osattu varautua. Sittemmin salaavien ja vanhempien salaamattomien ohjelmien saaminen keskustelemaan keskenään on osoittautunut liian vaativaksi. Tjsp.

HTTPS:stä ja SSL:stä en tiedä onko missä maissa kehitetty, mutta PGP:hän on (ilmeisesti) jenkkilähtöinen. Tarinan mukaanhan lähdekoodit on alunperin viety maasta tulostettuna ja ohjelma uudelleenkirjoitettu jossain lievemmän lainsäädännön maassa.

Joo, tuolla tavalla on ainakin legendan mukaan kierretty vientikieltoa. Lisäksihän PGP:t ja muut ovat joutuneet kovastikin tulilinjalle siksi, että USA:ssa joskus ainakin vaadittiin järjestelmiin takaporttia viranomaisille.

[Mika]

Henkilötiedoista on tietosuojavaltuutettu Reijo Aarnion mukaan tullut täydellinen rikoksentekoväline. Identiteettivarkaudesta pitäisi Aarnion mielestä tehdä Suomessa rikos, koska nykyinen lainsäädäntö ei suojele tarpeeksi uhria.

Hesari

Onko tosiaan näin? Sitten lainsäätäjien pitäisi tarttua asiaan.


Mutta tämä ei mielestäni ole ihan yksinkertaista.

Viime talvena noin 78 000 suomalaisen käyttäjätunnukset ja salasanat imuroitiin eri verkkopalveluista. Hakkeri jäi kiinni, mutta tietosuojavaltuutettu teki rikosilmoituksen palveluiden ylläpitäjiä vastaan.

"Henkilötietoja ei ollut suojattu tarpeeksi. Poliisi oli vähän sormi suussa, kun ylläpitäjät katsoivat olevansa uhreja. Pitää katsoa, onko kyse ylläpitäjien laiminlyönnistä", Aarnio sanoo.

Tietenkin ylläpitäjät olivatkin uhreja. Toki joissakin tapauksissa oli käynyt niin, etteivät ylläpitäjät olleet päivittäneet esim. foorumisoftaansa, jolloin syy on tietenkin ylläpitäjien, sillä useasti päivityksiä julkaistaan nimenomaan turvallisuussyistä. Tämän enempää ei silti ylläpitäjiltä voida vaatia. Hakkerit ovat aina askeleen edellä, kissa-hiiri -leikkiä se on. Ja toisaalta hyvä, koska vierivä kivi ei sammaloidu.

[Mika]

Pojat on poikia...

Microsoft and Washington State's Attorney General filed lawsuits against scam artists who frighten consumers into buying useless software.

http://news.bbc.co.uk/2/hi/technology/7645420.stm" onclick="window.open(this.href);return false;

[Mika]

WORDPRESS

Wordpressistä on löytynyt haavoittuvuus, jonka avulla
hyökkääjä voi kaapata toisen käyttäjän tunnuksen.
Kaikkia Wordpressiä käyttäviä Louhen asiakkaita
kehoitetaan päivittämään ohjelmisto uusimpaan versioon.

Lisätietoja haavoittuvuudesta:
http://www.securityfocus.com/bid/31068" onclick="window.open(this.href);return false;
http://www.securityfocus.com/bid/31115" onclick="window.open(this.href);return false;

Wordpressin virallinen kotisivu:
http://wordpress.org/" onclick="window.open(this.href);return false;

DRUPAL

Drupalista ja sen lisäosista on löytynyt useita vakavia
haavoittuvuuksia. Löydettyjen haavoittuvuukisen avulla
hyökkääjä kykenee muokkaamaan SQL-tietokantaan
tehtäviä kyselyitä sekä ohittamaan autentikoinnin.
Haavoittuvuuksien avulla hyökkääjä kykenee myös
injektoimaan sivustolle JavaScript-koodia. Kaikkia Drupalia
käyttäviä
Louhen asiakkaita kehoitetaan päivittämään ohjelmistot
uusimpaan versioon, paikantamaan löytynyt haavoittuvuus tai
poistamaan haavoittuvat laajennukset tarvittaessa
käytöstä.

Lisätietoja haavoittuvuuksista:
http://drupal.org/node/304093" onclick="window.open(this.href);return false;
http://drupal.org/node/309758" onclick="window.open(this.href);return false;
http://drupal.org/node/309769" onclick="window.open(this.href);return false;
http://drupal.org/node/309802" onclick="window.open(this.href);return false;
http://drupal.org/node/309861" onclick="window.open(this.href);return false;
http://drupal.org/node/310223" onclick="window.open(this.href);return false;
http://drupal.org/node/312898" onclick="window.open(this.href);return false;
http://drupal.org/node/312923" onclick="window.open(this.href);return false;
http://drupal.org/node/312944" onclick="window.open(this.href);return false;
http://drupal.org/node/312968" onclick="window.open(this.href);return false;
http://drupal.org/node/313054" onclick="window.open(this.href);return false;
http://drupal.org/node/315919" onclick="window.open(this.href);return false;
http://drupal.org/node/318739" onclick="window.open(this.href);return false;
http://drupal.org/node/318706" onclick="window.open(this.href);return false;
http://drupal.org/node/318746" onclick="window.open(this.href);return false;
http://drupal.org/node/318749" onclick="window.open(this.href);return false;

Drupalin virallinen kotisivu:
http://drupal.org/" onclick="window.open(this.href);return false;

GALLERY

Gallerysta on löytynyt useita haavoittuvuuksia, joiden
avulla hyökkääjä kykenee lukemaan tiedostoja
palvelimelta sekä injektoimaan JavaScriptiä sivustolle.
Kaikkia Gallerya käyttäviä Louhen asiakkaita kehoitetaan
päivittämään ohjelmisto uusimpaan versioon.

Lisätietoja haavoittuvuuksista:
http://gallery.menalto.com/gallery_2.2.6_released" onclick="window.open(this.href);return false;
http://gallery.menalto.com/gallery_1.5.9_released" onclick="window.open(this.href);return false;

Galleryn virallinen kotisivu:
http://gallery.menalto.com/" onclick="window.open(this.href);return false;

JOOMLA CMS

Joomla open source CMS-ohjelmistosta on löytynyt
haavoittuvuus, jonka avulla hyökkääjän on mahdollista
arvata järjestelmän luomia satunnaisarvoja. Tämä
mahdollistaa esimerkiksi järjestelmän luomien salasanojen
arvaamisen.

Lisätietoja haavoittuvuudesta:
http://developer.joomla.org/security/ne ... -flaw.html" onclick="window.open(this.href);return false;

Joomlan virallinen kotisivu:
http://www.joomla.org/" onclick="window.open(this.href);return false;

Palvelun ylläpitäjä, tunne vastuusi - päivitä
ohjelmistosi!

[Mika]

Jos salasanasi on tällä listalla, vaihappa.

[MtJ]

Käyttäjän kommentti tietoturvasta: Mihin niit rajoituksii tarvitaan, annetaan kaikki oikeudet kaikille!

Mikrotuen kommentti kriittisestä imagejärjestelmästä, jolla voi tuhota kaikki koneet: Annatte vaan jokaiselle mikrotuelle admarit, kyllä me se hallitaan, pitäkää te vaan se ylläpito.

Pääkäyttäjän kommentti ohjelmaa asennettaessa, kun kysyttiin, et mikä sen koneen nimi on: Tää on joku Dell...

Tämmösiä tulee admarina koko aika. Jumankauta että pää leviää. Kaikki oikkarit kaikkialle ja hallintaa mut ei ylläpitoa. Kymmeniä ihmisiä sähläämässä hommia, joissa voi tulla yhdellä napin painalluksella helposti yli viiden miljoonan euron vahingot pelkästään tuhoutuneina työaseman tietoina.

Sitä tietoturvaa tarvitaan siihen ainakin 50% tapauksista, että typerät käyttäjät pitävät näppinsä erossa kriittisistä järjestelmistä ja jättävät ne niitten harteille, joilla on hirveä vastuu niistä järjestelmistä.

[Mika]

Melkoista meininkiä.

Viime huhtikuussa Schiefer tunnusti huijanneensa hollantilaista Simpel-mainosyhtiötä. Mies nosti yhtiöltä 19 000 dollarin konsulttipalkkion. Hän kuitenkin asensi haittaohjelmia Simpelin asiakkaiden koneille.

[114_www]http://www.digitoday.fi/tietoturva/2009 ... 8/66?rss=6[/114_www]

[Mika]

Jotkut suomalaiset kampittelukaupat taitavat käyttää tätä ohjelmistoa.

Anders Inno -ohjelmistotalo ilmoittaa. että se on löytänyt verkkokauppaohjelmisto osCommercesta haavoittuvuuksia, jotka voivat johtaa verkkokauppojen huomattaviin rahallisiin menetyksiin.

[114_www]http://www.digitoday.fi/tietoturva/2009 ... 1/66?rss=6[/114_www]

[Mika]

Britannian yleisradioyhtiö BBC:n toimittajat ovat murtautuneet tuhansiin kotitietokoneisiin. Teknologiaohjelma Clickin toimittajat saivat internetin keskustelupalstoilta hallintaansa liki 22 000 kotikonetta, joita käytettiin osoittamaan verkkorikollisuuden helppous.

[114_www]http://yle.fi/uutiset/tiede_ja_tekniikk ... origin=rss[/114_www]

[Mika]

Pääasiassa Kiinasta käsin toimivat hakkerit ovat varastaneet salaisiksi luokiteltuja tiedostoja useiden maiden hallituksilta ja yksityisiltä yrityksiltä. Suomessa nettimurtoja on tehty Portugalin ja Romanian suurlähetystöjen tietokoneisiin.

[114_www]http://www.verkkouutiset.fi/index.php?o ... -&Itemid=4[/114_www]

[Janne Oksanen]

Onko ne silloin tehty Suomessa vai Portugalissa ja Romaniassa. Ihan vain jos hiuksia aletaan halkomaan.

[Mika]

CHINESE and Russian cyber spies have hacked into the US electricity grid and inserted programs that could be used to disrupt the system, a report says.

[114_www]http://www.news.com.au/story/0,27574,25 ... _newspulse[/114_www]

[Laredo]

Tulipa mieleen 60 minutes ja pahamaineinen venäläinen hakkeri "Tempest"
Klik