Käytätkö tietoturvallista selainta?

[Miguel]

Ei hätää vaikka olisitkin IE surffaaja. Tällä hetkellä kaikki selaimet ovat turvattomia ainakin yhden haavoittuvuuden suhteen. :frown::thumbdown

Clickjacking uhkaa kaikkia selaimia
Tutkijat: Kaikissa web-selaimissa on vakava turvauhka

Tietoturvatutkijat kertovat, että he ovat löytäneet perustavaa laatua olevan ja erittäin vaarallisen turvauhan, joka vaivaa käytännössä kaikkia moderneja web-selaimia. Uhkaa ei myöskään voi torjua kääntämällä lisäominaisuuksia pois, joten melkeinpä kaikki webin käyttäjät ovat haavoittuvia. Eri valmistajat yrittävät nyt korjata niin sanotun clickjacking-ongelman ajoissa.

Turvaongelman yksityiskohtia ei ole paljastettu. Asiaa piti esitellä Owasp Nyc Appsec 2008 -tietoturvatapahtumassa. Adoben ja muiden ohjelmistotalojen pyynnöstä avoin esitys jätettiin kuitenkin pitämättä, tutkijat kertovat. Ohjelmatalot halusivat aikaa ongelman korjaamiseen, ja tutkijat kertovat suostuneensa tähän uhan vakavuuden takia.

Clickjacking uhkaa kaikkia selaimia

Esitys kuitenkin pidettiin rajoitetulle kuulijajoukolle. Uutispalvelu Zdnetin mukaan yksi läsnäolija kuvaili uhkaa vakavaksi. Hänen mukaansa tämä niin sanottu clickjacking-uhka liittyy siihen, että selaimet voi pakottaa "klikkaamaan" sivulla oleviin linkkeihin käyttäjän tietämättä.

Rikollisen ei tarvitse kuin houkutella uhri haitalliselle nettisivulle, ja hän voi sen jälkeen käynnistää selaimesta haluamiaan linkkejä tai painaa haluamiaan painikkeita. Ongelma ei liity selaimen lisäosiin, vaan siihen tapaan jolla modernit nettiselaimet käsittelevät linkkejä, kertoo Zdnet.

Turvaongelman löytäjät kertovat joitain tietoja asiasta blogeissaan (viesti 1, viesti 2).

Samuli Kotilainen

 

[kouvotsvoni]

Tuhoutuuko meidän jokaisen tietokone nyt, vai joko tuohon on keksitty vastalääke?

 

[Vice]

joko tuohon on keksitty vastalääke?

Katkaise nettiyhteytesi. Se toimii aina tällaisissa tapauksissa :thumbup:

 

[Miguel]

Web-surffaajalla vaarallinen uusi uhka
Julkaistu: 8:26

Nettisurffaajat kohtaavat uuden, vaarallisen tietoturvauhan, jota asiantuntijat kutsuvat nimellä ”clickjacking”. Se on tekniikka, jonka avulla voidaan huijata netinkäyttäjiä paljastamaan luottamuksellisia tietoja samalla, kun he klikkailevat turvallisen oloisia nettisivuja. Asiasta kertoo Newsfactor.

Clickjacking-hyökkäyksiä voidaan esimerkiksi hyödyntää vallatessa netinkäyttäjän tietokoneen web-kamera ja mikrofoni ilman, että käyttäjä on tästä tietoinen.

Clickjacking on tunnistettu Adobe Flash Playerin ja kaikkien tärkeimpien selainten haavoittuvuudeksi.

Firefox-laajennuksen tekijä Giorgio Maone varoittaa, että kyseessä on vakava uhka ja että hyökkäys on helppo toteuttaa.

Adobe on jo julkaissut ohjeet, miten Flashin pääsy kameraan ja mikrofoniin voidaan estää. Flash-clickjacking on kuitenkin vain yksi tapa tehdä clickjacking-hyökkäys. Asiantuntijoiden mukaan tietoturvahaavoittuvuudet koskevat ominaisuuksia, jotka ovat olennaisia nykyiselle webille, joten ongelmaa on hyvin vaikea korjata kattavasti.

Uusisuomi.fi on hieman myöhässä tämän "uuden" uhkan kanssa. Nyt taitaa alkaa ihan uusi tiirailubuumi. Milloinkahan nettiin ilmestyy busted-videopätkiä, joissa valkokaulusherrat koittavat selviytyä nettipornon haasteista?

 

[Mangelo]

Itse olen vähän huolissani siitä, että nettisivujen omistajat voivat tarkkailla, millä sivulla olen käynyt viimeksi.... tuo loukkaa yksityisyyden suojaani pahasti.

 

[Runar ja Kyllikki]

Itse olen vähän huolissani siitä, että nettisivujen omistajat voivat tarkkailla, millä sivulla olen käynyt viimeksi.... tuo loukkaa yksityisyyden suojaani pahasti.

Ongelmaan on tosi helppo ratkaisu: Älä käy sellaisilla sivuilla joilla häpeät käydä niin paljon, ettei kukaan saisi saada selville.

 

[JPP]

Ongelmaan on tosi helppo ratkaisu: Älä käy sellaisilla sivuilla joilla häpeät käydä niin paljon, ettei kukaan saisi saada selville.

Taitaa vaan olla aika vaikea pysyä pois täältä foorumilta. Ja älytön homma poistaa kaikki viestit, jotka on tänne kirjoittanut, täytyyhän todisteet tuhota.

 

[kouvotsvoni]

Itse olen vähän huolissani siitä, että nettisivujen omistajat voivat tarkkailla, millä sivulla olen käynyt viimeksi.... tuo loukkaa yksityisyyden suojaani pahasti.

Hähä! Zaikom käy joillain pornosivuilla

 

[Mangelo]

Ongelmaan on tosi helppo ratkaisu: Älä käy sellaisilla sivuilla joilla häpeät käydä niin paljon, ettei kukaan saisi saada selville.

Sitten en voisi klikata enää tänne. Päinvastoin, en käy niillä sivuilla, joiden takapiruille olisi jotain hävettävää.

 

[AJ]

Ongelmaan on tosi helppo ratkaisu: Älä käy sellaisilla sivuilla joilla häpeät käydä niin paljon, ettei kukaan saisi saada selville.

Entä jos hävettää se, että käy vain ja ainoastaan yhdellä ja samalla sivustolla?

 

[Runar ja Kyllikki]

Entä jos hävettää se, että käy vain ja ainoastaan yhdellä ja samalla sivustolla?

 

[AJ]

Ai sulla sama juttu?

 

[Miguel]

Homma on hanskassa jos muistaa painaa oikeassa vaiheessa.

 

[AJ]

Homma on hanskassa jos muistaa painaa oikeassa vaiheessa.

:thumbfh:

 

[Banaani]

Homma on hanskassa jos muistaa painaa oikeassa vaiheessa.

Tuli muuten kouluni sisäisestä verkosta viesti että Wintoosassa on joku helvetinmoinen reikä. Päivä sen jälkeen Vista tarjosi 3 päivitystä. Mikä lie ollut.

 

[Miguel]

Näköjään selainen tietoturvaongelmat ovat siirtyneet verkon aktiivilaitteisiikin. :eek!:

Väite: A-Linkin langaton tukiasema toivottaa rikolliset tervetulleeksi

Kuluttajalle myydyssä WLAN-tukiasemassa saattaa piillä vakava tietoturvariski. Asiantuntijat ovat löytäneet vakavia puutteita useista Suomessa yleisesti käytössä olevista kuluttajamodeemeista.

Pahimmillaan verkkorikollinen voi päästä käsiksi jopa pankkitunnuksiin ja tilitietoihin ilman, että tietokoneen käyttäjä huomaa mitään.

Esimerkiksi verkkopankissa asioidessa kannattaa tarkistaa, ilmestyykö selaimen laitaan lukon kuva. Se kertoo, että nettisivu on oikea eikä tekaistu.

Louhi Networks -yhtiön tietoturva-asiantuntijat varoittavat erityisesti A-Linkin valmistamasta WLAN-tukiasemasta. Haavoittuvuus on löytynyt malleista WL54AP2 ja WL54AP3, joiden versio on aikaisempi kuin 1.4.2. Vastaavia haavoittuvuuksia on löydetty myös muun muassa ZyXellin ja Buffalon laitteista.

Tietoturvariskeiltä on mahdollista suojautua, mutta se on tavalliselle ihmiselle hankalaa ja monimutkaista, myöntää asiantuntija. Modeemin hallintoliittymän salasana kannattaisi vaihtaa ensimmäisenä, ja samoin tulisi huolehtia modeemin tietoturvapäivityksistä.

Päivitykset eivät kuitenkaan lataudu automaattisesti, vaan ne täytyy käydä erikseen hakemassa laitteen valmistajan kotisivuilta.

(Louhi Networks tiedotti aikaisemmin keskiviikkona, että riskejä sisältävä A-Linkin laite oli modeemi. Yhtiö korjasi tiedotettaan myuöhemmin ja kertoi että kyseessä onkin reitittävä WLAN-tukiasema).

STT

http://www.kauppalehti.fi/5/i/talous/uutiset/etusivu/uutinen.jsp?oid=2008/11/16102