Bloginpito alkoi neljä vuotta sitten

Blogi pääsi vaivihkaa täyttämään neljä vuotta 6.10. eli viime tiistaina.

Mainittakoon tässä samassa kirjoitusten lukumäärä - se on 2795 kirjoitusta. Kommentteja on kertynyt 72 kpl.

Tänään on jälleen SysAdminDay

Kaikkien järjestelmäylläpitäjien nimikkopäivä - virallisesti System Administrator Appreciation Day - on jälleen tänään, heinäkuun viimeisenä perjantaina.

Viimeksi päivän olemassaolo tuli huomioitua kolme vuotta sitten.

Adminit tekevät tärkeää, pyyteetöntä työtä, joka näkyy yleensä vain silloin kun postit eivät kulje, tulostin takkuilee ja järjestelmiin ei pysty kirjautumaan...

SANS ISC:n IncoCon-mittari palasi vihreälle

Oltuaan noin vuorokauden Yellow-tasolla on SANS-instituutin alaisen Internet Storm Centerin sivustoon kuuluva InfoCon-uhkatasomittari palannut normaalille Green-tasolle.

Keskuksen päivystäjä Adrien de Beaupre (ei tällä kertaa vuorossa oleva "Handler on Duty") toivoo kohotetun keltaisen tason olleen riittävä signaali Microsoft Office Web Components ActiveX -haavoittuvuuden vakavuudesta ja muistuttaneen sen aktiivisesta hyödyntämisestä ja haittaohjelmista.

DirectShow-haavaan hyökkäillään jo

QuickTimeen hyökkäysvektorina perustuvaan DirectShow-haavoittuvuuteen on havaittu jo hyökkäyksiä. MS:n advisoryn listaama ensijainen suojautumiskeino on rekisterieditorin tai Regsvr32-komennon avulla tehtävä Quartz.dll-kirjaston poiskytkeminen.

SNORT-suoja Acorobat-nollapäiväaukoille

SNORT-säännöt vielä paikkausta odottaville Acrobat-haavoittuvuuksille on vastikään julkaistu. Lisätietoja täällä.

Haavoittuvuudet (kyseessä siis getAnnots()-aukko CVE-2009-1492 ja customDictionaryOpen()-aukko CVE-2009-1493) korjaava päivitys on Adoben lupaan jakelussa 12. toukokuuta mennessä.

Bloginpitäjällä ei ollut tilaisuutta blogata itse haavoittuvuudesta sen julki tullessa. Blogasin tapauksesta kyllä kahteenkin otteeseen työnantajani julkisessa blogissa.

Acrobatia vaivaa myös getIcon()-aukko

Mikäli käytössä on Adobe Acrobat -versio 9.0.0 tai aikaisempi koskee versiota JBIG2-aukon lisäksi myös toinen koodinajamisen mahdollistava haavoittuvuus. TippingPoint kertoo ZDI-ohjelmansa kautta löydetystä getIcon()-metodin aukosta, joka on korjattu 9.1:ssä ja 8.1.3:ssa. Tapauksen CVE-tunnus on CVE-2009-0927.

Myös 8.1.4-versio Linux-alustalle tuli jakeluun eilen illalla.

Entryä päivitetty klo 16:30

Vuosi 2009 by Ed Felten

Mitä ennustaakaan Freedom To Tinker -blogiin kirjoittava Edward William "Ed" Felten? Sen voi lukea tästä Predictions 2009 -kirjoituksesta.

Web-sovelluksien exploitteja sikiää

Milw0rm-sivustolla julkaistujen exploit-koodien kategoria Web apps on selkeästi usemmiten päivittyvä osio sivustolla. Tänäänkin julkaisuja on peräti kuusi.

Päivitys: Klo 15:50 sivusto tuottaa Error eh? -virheilmoituksia, myös pääsivulta.

Päivitys #2: Iltayhdeksältä Milw0rm.com näyttää toimivan.

MSIE-paikka on MS08-078

Ylimääräinen tietoturvapäivitys, joka paikkaa DHTML-haavoittuvuuden IE-versioista 5.01, 6.0, 7 ja 8 Beta 2 sai tunnuksen MS08-078 (KB960714) ja ko. bulletiini on tarkasteltavissa osoitteessa microsoft.com/technet/security/Bulletin/MS08-078.mspx.

Haavoittuvuuden englanninkieliseksi termiksi vahvistettiin Pointer Reference Memory Corruption Vulnerability.

Kirjoitusten päiväykset muutettu 9/11/2008-muotoon

Six Apartin alustauudistuksessa viime viikolla automaattisesti toteutettu päiväysmuodon muutos on nyt korjattu. Muutin entryjen päiväyksen muodoksi tutumman pp/kk/vvvv-muodon. Nyt välivaiheessa esim. tämän entryn pysyvä linkki on sisältänyt aikaleiman 11/09/2008 klo 01:55 ap, jonka on voinut tulkita joko 11. syyskuuta tai 9. marraskuuta.

Myös kellonaikakentät on muutettu takaisin suomalaisemmiksi.

Valitettavasti vaihtoehtoja on päivityksen jälkeen valittavissa vähemmän. Kellonajoissa suomalaisin muoto oli tt:mm, johon päädyin. Etunollia en kannata, mutta noihin vaihtoehtoihin oli tyytyminen.

On taas Firefoxin päivittämisen aika

Mozilla Firefoxin 3.0.4-versioon sisältyvistä haavoittuvuuksista kaikkiaan neljä on saanut Critical-luokituksen.

Latausosoite (kaikki kieliversiot) on tuttuun tapaan täällä.

PDF-aukon virustorjuntasuoja paranemassa

Kun Internet Storm Center (ISC) sai tiedon liikenteessä olevista vihamielisistä PDF-dokumenteista ei mihinkään markkinoilla olevaan yli 30 virustorjuntaohjelmaan sisältynyt suojaa ko. tiedostoja vastaan.

F-Secure tuntee exploit-koodia sisältävät PDF-tiedostot Exploit:W32/Pidief.AQ- ja Exploit:W32/Pidief.AP-nimisinä uhkina. Microsoftin virustorjuntamoottori puolestaan tunnistaa ne Exploit:JS/ShellCode.gen-nimellä. Myös McAfeellla on suoja tiedostoja vastaan.

Ainakin reilun 12 kilotavun mittaisia 2008-APSB08-19.pdf-nimisiä tiedostoja on havaittu.

On tarpeen selventää, että util.printf()-haavoittuvuuden löytänyt Core Security on vastuussa vain PoC-koodin julkaisusta. Itse exploitin on loppuviikosta julkaissut Debasis Mohanty.

Arkea ja virussuojan parantumista odotellessa on Adobe Readerin päivittäminen 9-versioon varmin keino hyökkäyksiltä suojautumiseksi. 8-tason ohjelmistosta haavoittumaton on versio 8.1.3.

Obaman ja McCainin kampanjapalvelimien murto on vakava asia

Tällä viikolla Newsweekin kautta julkisuuteen tulleet Barack Obaman ja John McCainin vaalikampanjajärjestelmiin kohdistuneet murrot ovat vakavasti otettava esimerkki, kuten FBI ja Salainen palvelu kampanjaorganisaatoille ovat ilmaisseetkin.

KB555965.exe-huijaus käyttää vanhaa kikkaa

Myös suomalaissähköposteihin kolahteleva Security Update for OS Microsoft Windows -huijaus hyödyntää sitä vanhaa tosiasiaa, että surullisen monet käyttäjät luottavat tällaisiin sähköpostitse saapuviin "virallisiin ilmoituksiin". Näkyvä lähettäjäosoite on niin tyypillinen kuin vain odottaa saattaisi eli  Microsoft Customer Service <customerservice @ microsoft.com>.

Huvittaa kyllä samassa viestissä runsas OS-sanan viljely an update for all Microsoft Windows OS users sekä PGP-allekirjoitus.

Allekirjoituksen vakuuttavuuden lisäämiseksi siihen on lisätty henkilön nimi:

Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

Vähän niin kuin vuosia sähköposteissa liikkuneissa raiskaushuumeviesteissä, joissa allekirjoituksessa komeilee Helsingin poliisilaitoksen poliisin nimi.

Sen kun ihmiset uskoisivat, ettei Microsoft toimita turvapäivityksiä sähköpostitse - eikä varsinkaan englanninkielisellä saatetekstillä pääosin suomenkielisiin Windowseihin.

Vähintään yhtä huvittavaa on Win98:n ja WinME:n sisältyminen päivitettävien käyttöjärjestelmien listaan...

Virustorjujat näyttävät tuntevat tuon exe:n sisältämän haittaohjelman melko kattavasti, mm. Trojan-Spy.Win32.Goldun.bce:nä, Mal/EncPk-CZ:nä ja Infostealerina.

Ja muuten, Lipner työskentelee Microsoftilla tietoturvatehtävissä..

Onneksi olkoon, 10-vuotias Google

Google täyttää tarkalleen tänään kymmenen vuotta ja juhlistaa asiaa esim. etusivunsa juhlalogolla.

Lisää voi lukea mm. Google Timeline -sivuilta ja logoja vuosien varralta on mahdollista tutkia esim. täällä.

Hätäkeskuksen päivystäjä katkaissut hätäpuheluja tahallaan

Tämä ei ole suoranaisesti tietoturvaa, mutta kansalaisten kokonaisturvallisuuteen liittyy paljoltikin se jos hätäkeskuksen päivystäjänä saa olla henkilö, joka katkaisee tahallaan kymmeniä hätäpuheluja.

Onnellista asiassa on se (jonka myös Pohjanmaan hätäkeskuksen johtaja Kari Pastuhov IL:ssä toteaa), että Häken henkilökunta havaitsi asian ja puuttui toimintaan.

Hätäkeskuslaitoksen surullisten asioiden käsittely saa jäädä yhteen entryyn per vuosi.

10 suosituinta Networksecurity.fi-kävijöiden selainta

Kolmen vuoden ajalta kertyneet tilastot kertovat kärkikolmikoksi MSIE:n, Firefoxin ja Mozillan (siis Mozilla Suiten):

                                                                                                 

1.	IE		73,94 %
2.	Firefox		16,11 %
3.	Mozilla		5,11 %
4.	Netscape		1,41 %
5.	Tuntematon		1,25 %
6.	Hakukone		1,05 %
7.	Opera		0,81 %
8.	Safari		0,13 %
9.	Konqueror		0,10 %
10.	AOL		0,02 %

Chromea mainostetaan myös Googlen etusivulla

Tämän päivän yllätysjulkistus - Google Chrome -selain on saanut latauslinkin myös Google.com-etusivulle. Beetana julkaistu selain on saatavana myös suomenkielisenä.

Best Westernin jättitietomurron totuus paljastui

Hotelliketju Best Westernin tutkimukset ovat selvittäneet, että vastoin brittiläisen The Sunday Heraldin uutisointia tietomurron kohteena onkin ollut vain yksi hotelli Saksanmaalta.

Kun alun perin puhuttiin kahdeksasta miljoonasta uhista onkin väärille teille joutuneita henkilö- ja luottokortitietoja vain kymmenen.

Melkoinen ero, varsinkin kun brittilehti näytti korostavan käsiinsä saamaa tietoa, jonka mukaan kirjautumistiedot asiakastietokantaan olisi myyty Venäjän mafialle.

Best Western toimii myös Suomessa ja Baltian maissa.

Lentolippuhuijauksen virussuoja vasta kohtalainen

Läheskään kaikki virustorjujat eivät vielä tunne suomalaisposteihin kolahtelevaa Your Flight Ticket N1234567 -otsikoitua troijalaisviestiä.

Uutisointini mukaan

Virussuojan kattavuus espanjalaisen VirusTotal-palvelun virustorjuntaohjelmien tunnisteiden mukaan on tänään tehdyssä otoksessa 14 virusskanneria 32 ohjelmistosta. Tunnetuimmista virustorjuntaohjelmistoista haitakkeen tuntevat AntiVir, ClamAV, Panda, Sophos, Symantec ja Trend Micro. Tunnistus puuttuu mm. McAfeelta, Microsoftilta ja Normanilta.

Ote yhdestä eilisiltaisesta esimerkkiviestistä:

Dear Gentlemen,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:

Your login: [sähköpostiosoite]
Your password: pass4N3A

Your credit card has been charged for $640.53.

Viestin liitteenä on 24-kiloinen Ticket_N141-SK.zip. Lähettäjäosoite ei ole niitä kaikkein vakuuttavimpia - Sun Country Airlines (ultyrmnxm @ botanicals.com).

Päivitys 14:30: Eilen VirusTotal-ajosta jostain syystä pois jäänyt F-Secure on nyt 19.8. sormenjäljillä mukana tunnistaen troijalaisen Trojan.Win32.Crypt.lf-nimellä.