Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc

  • Viestiketjun aloittaja Viestiketjun aloittaja OldSkool
  • Aloitus PVM Aloitus PVM
Helsingin kaupungin tietomurto on kaikkien aikojen laajin. Helsinkiin kohdistuneessa murrossa ovat vaarantuneet 150 000 nykyisen ja entisen oppijan tiedot. Sama koskee Helsingin kaupungin 38 000 hengen henkilökuntaa. Vaarantua ovat voineet myös oppilaiden huoltajien tiedot.

Jos jokaisella oppijalla on keskimäärin hieman alle kaksi huoltajaa, lukumäärä voi IS:n laskutoimituksen mukaan teoriassa nousta lähelle puolta miljoonaa.

www.is.fi

KRP: Helsingin tietomurto on Suomen kaikkien aikojen suurin – näin tutkinta etenee nyt

Kiristyksestä tai tietojen päätymisestä pimeään verkkoon ei ole tietoa.
www.is.fi www.is.fi

Traficomilta napattiin tietoja. Koskee tämänhetkisen tiedon mukaan noin 65 000:ta omistajaa ja haltijaa, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx – ALJ-xxx.

Tunkeutuja on saanut haltuunsa ajoneuvon sekä ensimmäisen omistajan tai haltijan, että toisen omistajan tai haltijan koko nimen, osoitetiedot sekä henkilötunnuksen

www.is.fi

Poliisi tutkii ajoneuvorekisterin törkeää tietomurtoa – uhreja jopa 65 000

Tunkeutuja on Helsingin poliisin mukaan saanut haltuunsa muun muassa henkilötunnuksia ja osoitetietoja.
www.is.fi www.is.fi
 
Viranomaisten ja hallinnon rekisterit ovat näköjään aika helposti murrettavissa. Kukaan ei siellä oikeasti ole vastuussa mistään. Sen olen huomannut, kun jotain tapahtuu. Liikaa tavaraa yhdessä paikassa, pieni palkka, kiire ym.

Mutta tärkeämpää on, liittyvätkö nämä kaikki asiat toisiinsa? Onko kyse operaatiosta, jonka takana voi olla jopa valtiollinen taho (tarvitsisi tiedot hämmennyskampanjaan sopivassa kohtaa) vai onko kyseessä vain harrastelija / kyberrikollinen?
 

Valtava it-kaaos – tämä tiedetään nyt​


www.is.fi

Tämä tiedetään nyt valtavasta it-kaaoksesta – Ruotsissa evakuoitiin kaivos

Laaja tietotekninen vika vaikuttaa maailmanlaajuisesti muun muassa lentoihin.
www.is.fi www.is.fi

………………………

Jos ei nyt varsinainen ison mittakaavan kyberhyökkäys niin ainakin ison luokan kyberkaaos. Maailmanlaajuinen.

”Liikenne- ja viestintäviraston tietoturvaviranomainen Kyberturvallisuuskeskus kertoo tiedossa olevan häiriöitä myös suomalaisissa organisaatioissa”

Myös Suomessa kyberongelmia.
 
Tämä Crowdstrike ongelma näyttää mielenkiintoiselle. Eli Crowdstrike tarjoaa tieturvaohjelmistoja windowssille. Paketti sisältää ramsonware, virus yms suojausta, windowssin etähallintaa ja sertifikaattien päivittämistä. Tietoturva sertifikaattien ylläpito on isommissa organisaatioissa tärkeää koske yleensä tuolla on asetus päällä joka estää ilman allekirjoittusta olevien softien ajamisen. Sertifikaattien avulla varmistetaan että vain luvalliset softat pyörii koneella. Näin se perus-pena ei saa ajettua sitä keylogger.exe ohjelmaa joka tuli kivasti sähköpostilla ladattua linkin kautta kun kerta CEO sitä kehotti.

Sertifikaatit välillä vuotaa ja siksi ne pitää päivittä nopeasti. Crowdstrike tarjoaa tämän palvelun. He keräävät sertifikaatit muilta ja nyt sitten tämä ongelmallinen päivitys poisti käytöstä oleellisen sertifikaatin. Eli kone ei suostu enää ajamaan jotain oleellista windowssin osaa kun serti uupuu. Sertifikaatit tulee isoilta allekirjoituspalvelujen ylläpitäjiltä ja isoilta softataloilta. Tämä perustuu yritysten väliseen luottamukseen, eli Crowdstrike ei sertifikaatteja luo vaan välittää.

Tietoturvapajat tekee tästä aikanaan analyysin mutta tämänhetken tiedon valossa joku ujutti Crowdsourcen sertifikaattien keräysprosessiin sertifikaatin revoken joka ei jäänyt kiinni heidän omassa testiympäristössään. Mutta aiheutti ongelmia suurimmassa osassa asiakkaista kun revoke esti laajastikäytetyn toiminnon.
 
threadreaderapp.com

Thread by @Perpetualmaniac on Thread Reader App

@Perpetualmaniac: Crowdstrike Analysis: It was a NULL pointer from the memory unsafe C++ language. Since I am a professional C++ programmer, let me decode this stack trace dump for you. Memory in your computer is la...…
threadreaderapp.com threadreaderapp.com
Tiivistys:
In this stack dump you see that it's trying to read memory value 0x9c. In human numbers, this is the value 156.
So what happened is that the programmer forgot to check that the object it's working with isn't valid, it tried to access one of the objects member variables...
NULL + 0x9C = 0x9C = 156.
That's an invalid region of memory.
Klikkaa laajentaaksesi...
Ja kun kyseessä oli järjestelmäajuri niin se ei voinut vain kaatua kuten ohjelma, vaan tuli bootloopi.
 
Aiheesta tuli vähän lisätietoa erinäisitä lähteistä. Crowstrike markkinaosuus on windows koneitten virusturvassa 24%, eli 24% maailman windowskoneista lakkasi toimimasta varhain perjantaiaamuna.

Alkuperäinen korjaus viittasi Crouwdstrike sertifkaattitiedoston poistoon mutta syy ei ollut sertifikaateissa vaan Windowssin named-pipe toiminnossa. Kyseinen funktio on surullisenkuuluisa tietoturvaongelmistaan ja sitä on paikattu niin Microsoftin kuin virustorjuntafirmojen toimesta useita vuosia. Nyt on ilmeisesti menossa uusi hyökkäys ja Crowstrike yksikertaisesti teki liian laajan esto named-pipe:ille ja esti samalla myös Windowssin oleellisia toimintoja. Lopputuloksena kaatuminen. Huono ohjelmointi ja huono ohjelmointikulttuuri johti sitten tähän kokonaisuuteen. Lopulta sitten saatiin NULL pointteri kun prosessi meni riittävän pahasti solmuun.

Joten sopiva hyökkäys, liian nopea reagointi ja huono ohjelmointikulttuuri johti kohtuullisen isoon spektaakkeliin. Voidaan sitten kysyä myös että halusiko joku hyökkääjä tökätä tahallaan tällekantille ja Crowdstrike sitten lensi lankaan? Eiköhän nämä tietoturcaohjelmistot ole erityisen kiinnostuksen kohteena kaikilla cyberrikollisilla ja rakas itänaapurimme on tätä kanavaa käyttänyt ennenkin omiin tarkoituksiinsa. Ylläpito, hallinta, virsutorjunta yms. laajasti käytetyt työkalut kun tarjoaa suoran reitin myös laajoihin murtoihin. Crowdstrike menee juuri tähän luokkaan. Jos huono ohjelmointikulttuuri on ollut yhtään pitempään tunnistettavissa niin kyllä tuota kannattaa pommittaa ja odottaa milloin se tuottaa kivan jättipotin.
 
jtsaari2004 kirjoitti:
Domain-nimi on firman taseessa ja sen voi myydä, jos homma ei lennä. Asiaa on useampikin sijoittaja kommentoinut, että he eivät näe tuota huonona rahankäyttönä vaan päinvastoin. Paul Graham on kirjoittanut domain-nimien omistuksesta monta vuotta sitten että tärkeä homma.
Klikkaa laajentaaksesi...
Niin teoriassa se ei happane, mutta voi tovin joutua odottelemaan että siitä esim. miljoonan joku maksaisi. Tosin yleinen logiikka, että 11/12 VC-riskirahoitetusta floppaa ja yksi kattaa kulut nielee tuollaisia ykkösmiljoonia sisäänsä vaikka kuinka.
 
Pari isoa. Googlella katsotaan olleen laiton hakukoneiden / online-mainonnan monopoli 10 vuotta.
www.yahoo.com

DOJ, states win Google search antitrust case

“Google is a monopolist, and it has acted as one to maintain its monopoly,” Judge Mehta wrote.
www.yahoo.com www.yahoo.com

Nvidia on puolestaan johtonsa tuella tekijänoikeuksista välittämättä imuroinut ainakin 36 miljoonaa videota. Suunniteltu koko Youtuben talteenottoa AI:n kouluttamiseksi.
https://twitter.com/x/status/1820493304490074391
https://twitter.com/x/status/1820495898469954016
 
Itäeurooppalaisia haitta/kiristysohjelmakonnia kiikkiin.
https://twitter.com/x/status/1823347803021598891
J.P. Morgan is believed to be a key player behind Reveton Ransomware Group, Ransomware Cartel, and Angler Exploit Kit which has resulted in the extortion of millions of dollars all across the globe.
Angler exploit kit was often used to deploy CryptXXX, CryptoWall, and other strains. At it's peak, it's suspected over 100,000 devices were infected by Angler Exploit Kit, bringing in a revenue of around $34,000,000.
J.P. Morgan's arrest coincides with the arrest of Belarus national Maksim Silnikau a/k/a 'Maksym Silnikov', 'xxx', 'J.P. Morgan', and 'lanksy', in Poland. Indeed, you read this correctly, Maksim Silnikau also operated under the moniker J.P. Morgan – two people are J.P. Morgan.
Furthermore, charges have been brought against two more individuals who are believed to operate with J.P. Morgan and Silnikau. Vladimir Kadariya, a 38 year old citizen of Belarus and Andrei Tarasov, a 33 year old citizen of Russia.
These 4 individuals operated malvertising campaigns (i.e. Angler) which believe to have impacted over 500,000,000 people across the globe.
Klikkaa laajentaaksesi...
 
"The Finish OSINT team is one of the best and largest we've worked with. They have a very serious group of analysts that really care. They come with a lot of backgrounds, such as programming and operational expertise, that within a few days, they can make really great intelligence products," stated Staff Sergeant Skyler Barsten, the production manager for the Northern Raven Team.
Klikkaa laajentaaksesi...
www.army.mil

US Army collaborates with Finland Army on Joint Open Source Intelligence Collection Mission

In a rapidly changing digital world where information is of utmost importance, the 66th Military Intelligence Brigade's Northern Raven Team collaborated...
www.army.mil www.army.mil
 
Kaikille GNU/Linuxille väitetysti jopa Heartbleediakin pahempi bugi. Remote Code Exploit. Vakavuusaste 9.9 eli kriittinen.

threadreaderapp.com

Thread by @evilsocket on Thread Reader App

@evilsocket: * Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago. * Full disclosure happening in less than 2 weeks (as agreed with devs). * Still no CVE assigned (there should be at...…
threadreaderapp.com threadreaderapp.com
Rajattu disclosure 30.9. ja täysin julkiseksi 6. lokakuuta.
https://twitter.com/x/status/1839103445296394554

Mutta ilmeisesti koskee jotain harvemmin käytettyä osaa, jonka suuri osa voi vain uninstalloida.
https://twitter.com/x/status/1839312872817803570
 
Viimeksi muokattu:
Sinun täytyy kirjautua vastataksesi.
Back
Top