Lisää tuoretta tietoturva-asiaa Twitter-tilissäni

eli osoitteessa twitter.com/jmlaurio

WikiLeaksilta loppuivat rahat – sivusto edelleen suljettuna

Luottamuksellisten dokumenttien vuotamiseen erikoistuneen WikiLeaks-sivuston rahanpuute johti sivuston sulkeutumiseen.

WikiLeaksin sivuilla on tällä hetkellä ainoastaan YouTube-video Chaos-tietoturvakonferenssissa pidettyyn WikiLeaks-luentoon sekä linkit lahjoituksen tekemiseksi luottokortilla tai PayPalin avulla. Sivustolla kerrottu tilinumero kuuluu kuvaustekstin mukaan Berliinissä toimivalle Wau Holland -säätiölle.

Sivusto kertoo käyttövarojensa olevan noin 50 000 Yhdysvaltain dollaria ja tarvitsevansa vuosittaiseen toimintaansa 200 000 dollaria eli noin 140 000 euroa ilman henkilöstökuluja.

Varoja tarvitaan WikiLeaksin Twitter-sivun mukaan mm. tietojen kääntämiseen yleisiin tietokantaformaatteihin. Loppiaisen aikaan sulkeutunut sivusto kertoo pysyvänsä suljettuna tähän päivään saakka.

Lahjoittajien nimiä vuoti julkisuuteen viime vuoden helmikuussa, kun sivuston kiitossähköposti paljasti 58 lahjoittajan sähköpostiosoitteen. Osoitteet oli nimittäin syötetty Bcc-kentän sijasta sähköpostin Vastaanottaja-kenttään.

Sivusto on ollut ennenkin suljettuna, mutta oikeuden päätöksellä helmikuussa 2008.

WikiLeaks julkaisi viime vuoden lopulla puoli miljoonaa 11.9.2001 terrori-iskun aikaisia hakulaiteviestejä. Sitä ennen sivusto on julkaissut mm. Britannian puolustusvoimien ohjeen tietovuotojen ehkäisystä sekä Suomen internet-operaattoreiden lapsipornon suodattamiseen käyttämän salaisen nettisensuurilistan.

Twitter-tili avattu

Avasin tänään Twitter-tilin, jonne tulen postaamaan tietoturva-aihepiiristä suomen kielellä. Osoite on:

twitter.com/jmlaurio

Bloginpito alkoi neljä vuotta sitten

Blogi pääsi vaivihkaa täyttämään neljä vuotta 6.10. eli viime tiistaina.

Mainittakoon tässä samassa kirjoitusten lukumäärä, se on n. 2 800 kirjoitusta. Kommentteja on kertynyt 72 kpl.

Tänään on jälleen SysAdminDay

Kaikkien järjestelmäylläpitäjien nimikkopäivä - virallisesti System Administrator Appreciation Day - on jälleen tänään, heinäkuun viimeisenä perjantaina.

Viimeksi päivän olemassaolo tuli huomioitua kolme vuotta sitten.

Adminit tekevät tärkeää, pyyteetöntä työtä, joka näkyy yleensä vain silloin kun postit eivät kulje, tulostin takkuilee ja järjestelmiin ei pysty kirjautumaan...

SANS ISC:n IncoCon-mittari palasi vihreälle

Oltuaan noin vuorokauden Yellow-tasolla on SANS-instituutin alaisen Internet Storm Centerin sivustoon kuuluva InfoCon-uhkatasomittari palannut normaalille Green-tasolle.

Keskuksen päivystäjä Adrien de Beaupre (ei tällä kertaa vuorossa oleva "Handler on Duty") toivoo kohotetun keltaisen tason olleen riittävä signaali Microsoft Office Web Components ActiveX -haavoittuvuuden vakavuudesta ja muistuttaneen sen aktiivisesta hyödyntämisestä ja haittaohjelmista.

DirectShow-haavaan hyökkäillään jo

QuickTimeen hyökkäysvektorina perustuvaan DirectShow-haavoittuvuuteen on havaittu jo hyökkäyksiä. MS:n advisoryn listaama ensijainen suojautumiskeino on rekisterieditorin tai Regsvr32-komennon avulla tehtävä Quartz.dll-kirjaston poiskytkeminen.

SNORT-suoja Acorobat-nollapäiväaukoille

SNORT-säännöt vielä paikkausta odottaville Acrobat-haavoittuvuuksille on vastikään julkaistu. Lisätietoja täällä.

Haavoittuvuudet (kyseessä siis getAnnots()-aukko CVE-2009-1492 ja customDictionaryOpen()-aukko CVE-2009-1493) korjaava päivitys on Adoben lupaan jakelussa 12. toukokuuta mennessä.

Bloginpitäjällä ei ollut tilaisuutta blogata itse haavoittuvuudesta sen julki tullessa. Blogasin tapauksesta kyllä kahteenkin otteeseen työnantajani julkisessa blogissa.

Acrobatia vaivaa myös getIcon()-aukko

Mikäli käytössä on Adobe Acrobat -versio 9.0.0 tai aikaisempi koskee versiota JBIG2-aukon lisäksi myös toinen koodinajamisen mahdollistava haavoittuvuus. TippingPoint kertoo ZDI-ohjelmansa kautta löydetystä getIcon()-metodin aukosta, joka on korjattu 9.1:ssä ja 8.1.3:ssa. Tapauksen CVE-tunnus on CVE-2009-0927.

Myös 8.1.4-versio Linux-alustalle tuli jakeluun eilen illalla.

Entryä päivitetty klo 16:30

Vuosi 2009 by Ed Felten

Mitä ennustaakaan Freedom To Tinker -blogiin kirjoittava Edward William "Ed" Felten? Sen voi lukea tästä Predictions 2009 -kirjoituksesta.

Web-sovelluksien exploitteja sikiää

Milw0rm-sivustolla julkaistujen exploit-koodien kategoria Web apps on selkeästi usemmiten päivittyvä osio sivustolla. Tänäänkin julkaisuja on peräti kuusi.

Päivitys: Klo 15:50 sivusto tuottaa Error eh? -virheilmoituksia, myös pääsivulta.

Päivitys #2: Iltayhdeksältä Milw0rm.com näyttää toimivan.

MSIE-paikka on MS08-078

Ylimääräinen tietoturvapäivitys, joka paikkaa DHTML-haavoittuvuuden IE-versioista 5.01, 6.0, 7 ja 8 Beta 2 sai tunnuksen MS08-078 (KB960714) ja ko. bulletiini on tarkasteltavissa osoitteessa microsoft.com/technet/security/Bulletin/MS08-078.mspx.

Haavoittuvuuden englanninkieliseksi termiksi vahvistettiin Pointer Reference Memory Corruption Vulnerability.

Kirjoitusten päiväykset muutettu 9/11/2008-muotoon

Six Apartin alustauudistuksessa viime viikolla automaattisesti toteutettu päiväysmuodon muutos on nyt korjattu. Muutin entryjen päiväyksen muodoksi tutumman pp/kk/vvvv-muodon. Nyt välivaiheessa esim. tämän entryn pysyvä linkki on sisältänyt aikaleiman 11/09/2008 klo 01:55 ap, jonka on voinut tulkita joko 11. syyskuuta tai 9. marraskuuta.

Myös kellonaikakentät on muutettu takaisin suomalaisemmiksi.

Valitettavasti vaihtoehtoja on päivityksen jälkeen valittavissa vähemmän. Kellonajoissa suomalaisin muoto oli tt:mm, johon päädyin. Etunollia en kannata, mutta noihin vaihtoehtoihin oli tyytyminen.

On taas Firefoxin päivittämisen aika

Mozilla Firefoxin 3.0.4-versioon sisältyvistä haavoittuvuuksista kaikkiaan neljä on saanut Critical-luokituksen.

Latausosoite (kaikki kieliversiot) on tuttuun tapaan täällä.

PDF-aukon virustorjuntasuoja paranemassa

Kun Internet Storm Center (ISC) sai tiedon liikenteessä olevista vihamielisistä PDF-dokumenteista ei mihinkään markkinoilla olevaan yli 30 virustorjuntaohjelmaan sisältynyt suojaa ko. tiedostoja vastaan.

F-Secure tuntee exploit-koodia sisältävät PDF-tiedostot Exploit:W32/Pidief.AQ- ja Exploit:W32/Pidief.AP-nimisinä uhkina. Microsoftin virustorjuntamoottori puolestaan tunnistaa ne Exploit:JS/ShellCode.gen-nimellä. Myös McAfeellla on suoja tiedostoja vastaan.

Ainakin reilun 12 kilotavun mittaisia 2008-APSB08-19.pdf-nimisiä tiedostoja on havaittu.

On tarpeen selventää, että util.printf()-haavoittuvuuden löytänyt Core Security on vastuussa vain PoC-koodin julkaisusta. Itse exploitin on loppuviikosta julkaissut Debasis Mohanty.

Arkea ja virussuojan parantumista odotellessa on Adobe Readerin päivittäminen 9-versioon varmin keino hyökkäyksiltä suojautumiseksi. 8-tason ohjelmistosta haavoittumaton on versio 8.1.3.

Obaman ja McCainin kampanjapalvelimien murto on vakava asia

Tällä viikolla Newsweekin kautta julkisuuteen tulleet Barack Obaman ja John McCainin vaalikampanjajärjestelmiin kohdistuneet murrot ovat vakavasti otettava esimerkki, kuten FBI ja Salainen palvelu kampanjaorganisaatoille ovat ilmaisseetkin.

KB555965.exe-huijaus käyttää vanhaa kikkaa

Myös suomalaissähköposteihin kolahteleva Security Update for OS Microsoft Windows -huijaus hyödyntää sitä vanhaa tosiasiaa, että surullisen monet käyttäjät luottavat tällaisiin sähköpostitse saapuviin "virallisiin ilmoituksiin". Näkyvä lähettäjäosoite on niin tyypillinen kuin vain odottaa saattaisi eli  Microsoft Customer Service <customerservice @ microsoft.com>.

Huvittaa kyllä samassa viestissä runsas OS-sanan viljely an update for all Microsoft Windows OS users sekä PGP-allekirjoitus.

Allekirjoituksen vakuuttavuuden lisäämiseksi siihen on lisätty henkilön nimi:

Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

Vähän niin kuin vuosia sähköposteissa liikkuneissa raiskaushuumeviesteissä, joissa allekirjoituksessa komeilee Helsingin poliisilaitoksen poliisin nimi.

Sen kun ihmiset uskoisivat, ettei Microsoft toimita turvapäivityksiä sähköpostitse - eikä varsinkaan englanninkielisellä saatetekstillä pääosin suomenkielisiin Windowseihin.

Vähintään yhtä huvittavaa on Win98:n ja WinME:n sisältyminen päivitettävien käyttöjärjestelmien listaan...

Virustorjujat näyttävät tuntevat tuon exe:n sisältämän haittaohjelman melko kattavasti, mm. Trojan-Spy.Win32.Goldun.bce:nä, Mal/EncPk-CZ:nä ja Infostealerina.

Ja muuten, Lipner työskentelee Microsoftilla tietoturvatehtävissä..

Onneksi olkoon, 10-vuotias Google

Google täyttää tarkalleen tänään kymmenen vuotta ja juhlistaa asiaa esim. etusivunsa juhlalogolla.

Lisää voi lukea mm. Google Timeline -sivuilta ja logoja vuosien varralta on mahdollista tutkia esim. täällä.

Hätäkeskuksen päivystäjä katkaissut hätäpuheluja tahallaan

Tämä ei ole suoranaisesti tietoturvaa, mutta kansalaisten kokonaisturvallisuuteen liittyy paljoltikin se jos hätäkeskuksen päivystäjänä saa olla henkilö, joka katkaisee tahallaan kymmeniä hätäpuheluja.

Onnellista asiassa on se (jonka myös Pohjanmaan hätäkeskuksen johtaja Kari Pastuhov IL:ssä toteaa), että Häken henkilökunta havaitsi asian ja puuttui toimintaan.

Hätäkeskuslaitoksen surullisten asioiden käsittely saa jäädä yhteen entryyn per vuosi.

10 suosituinta Networksecurity.fi-kävijöiden selainta

Kolmen vuoden ajalta kertyneet tilastot kertovat kärkikolmikoksi MSIE:n, Firefoxin ja Mozillan (siis Mozilla Suiten):

                                                                                                 

1.	IE		73,94 %
2.	Firefox		16,11 %
3.	Mozilla		5,11 %
4.	Netscape		1,41 %
5.	Tuntematon		1,25 %
6.	Hakukone		1,05 %
7.	Opera		0,81 %
8.	Safari		0,13 %
9.	Konqueror		0,10 %
10.	AOL		0,02 %