IoT tietoturva

[Jouko Holopainen]

Tai pikemminkin "tietoturva".

Linkki ei koske IoT laitteita, mutta kuvastaa täysin missä mennään:
http://www.theregister.co.uk/2016/11/17/google_hacker_pleads_try_whitelists_not_just_bunk_antivirus_ids/

"314 remote code execution holes disclosed in Adobe Flash last year alone".

Netti on menossa lujaa HTML5 videohin, videohin joita ei
flashblockerilla pysty estämään, esitettynä videoplayereillä joissa ei
ehkä ihan kolmeasataa reikää vuodessa ole, mutta ei aivan varmasti
nollaakaan. Eikä ketään kiinnosta - kaikkein vähiten virus(tutka)firmoja.

Kohta kun on lämpömittaria ja turvakameraa mökillä ja kotona, niin
eiköhän kaikille ole selvää miten homma tulee menemään. Valmistajat
eivät tule tekemään minkäänlaisia suojauksia. Pikemminkin päin vastoin,
laitteisiin laitetaan tahallaan takaportteja:
https://it.slashdot.org/story/16/11/20/0043259/second-chinese-firm-in-a-week-found-hiding-a-backdoor-in-android-firmware

Toivottavasti valtiot (USA/EU/Kiina) pakottavat tietoturvaa. Muutein
mikään ei muutu (ref: autojen ajonesto).

--
@jhol

www.iki.fi/jhol

[Juhani Varemo]

Siinä käy vielä niin että kukaan ei ota vastuuta mistään - kunnes kunnon
katastrofi on pariin kertaan koettu. Ja sittenkin käsiin jää pysyvä riesa
jonka kanssa on vaan elettävä. Eipä ole saatu edes roskapostia kuriin,
monimutkaisemmista asioista puhumattakaan.

Kehitys kulkee periaatteella 'koska mä voin' - liitetään härveli X nettiin
ja mainostetaan että nyt voit hallita hammasharjasi latausta puhelimellasi
ja seurata kissavessan käyttölokia pilvestä. Siinä sitä on wau-efektiä
riittävästi.

Jokaiseen härpäkkeeseen liittyy jokin pikapikaa väsätty, melkein toimiva
softa ja tietenkin pääsy verkkoon, ja ketään ei kiinnosta mitä muuta se
tekee, vahingossa tai tarkoituksella, julkisesti tai salaa.

Minulta aina toisinaan kysytään että 'mikä turvaohjelma tähän koneeseen
pitää nyt laittaa?', tai vielä vaikeampi versio 'pitääkö tähän kännykkään
hankkia joku virustorjunta?'

Eipä noihin oikein tyhjentävästi pysty vastaamaan, edes kyllä/ei -tasolla.

[Reijo Korhonen]

On Mon, 21 Nov 2016 08:59:17 +0200, Jouko Holopainen wrote:

> Netti on menossa lujaa HTML5 videohin, videohin joita ei
> flashblockerilla pysty estämään,

En tiedä mikä flashblocker on, mutta selasimessasi toimii vain se, minkä
selaimen koodaaja on laittanut tolimimaan. Vaikka selaimesi tukisi kaikki
HTML5:n piirteitä, niin sitä ei silti tarvitse koodata miin, että se
doittaa ensimmäistäkään videota automaattisesti. Kyllä selöaimen voi
edelleen koodata asetuksia, joista raksimalla käyttäjä voi saalia tai
estää kaikenlaista. Jos selaimessasi ei tälläisia säätöjä ole, taidat
käyttä rikkinäistä selainta. Vaihda se ehjään.

Muuta kun olit huolissasi "314 remote code execution holes disclosed in
Adobe Flash last year alone". niin huomasitko että tuoossa oli Adobe
Flash -haavoittuvuus. HTML5 videot eivät ole Adobe Flashia, joten rikös
ole vallan mainio asia, jos reikäinen videoiden toistojäärjestelmä
korvataan reiättömällä videoiden toistojärjestelmällä.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Jouko Holopainen <jh...@iki.invalid.fi> writes:

> Netti on menossa lujaa HTML5 videohin, videohin joita ei
> flashblockerilla pysty estämään, esitettynä videoplayereillä joissa ei

Ainakin firefoxista löytyy asetuksista arvo media.autoplay.enabled

--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje

[Jouko Holopainen]

On 22.11.2016 22:38, Ari Saastamoinen wrote:
> Jouko Holopainen <jh...@iki.invalid.fi> writes:
>
>> Netti on menossa lujaa HTML5 videohin, videohin joita ei
>> flashblockerilla pysty estämään, esitettynä videoplayereillä joissa ei
>
> Ainakin firefoxista löytyy asetuksista arvo media.autoplay.enabled

Löytyy (Androidin) Chromestakin. Se ei vaan toimi. Tai sitten en vain osaa.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 22.11.2016 21:39, Reijo Korhonen wrote:
> Muuta kun olit huolissasi "314 remote code execution holes disclosed in
> Adobe Flash last year alone". niin huomasitko että tuoossa oli Adobe
> Flash -haavoittuvuus. HTML5 videot eivät ole Adobe Flashia, joten rikös
> ole vallan mainio asia, jos reikäinen videoiden toistojäärjestelmä
> korvataan reiättömällä videoiden toistojärjestelmällä.

Koko pointtini on, että olen täysin 100% varma, ettei html5
videotoistimet ole reiättömiä. Itse asiassa en usko niiden olevan
juurikaan sen reiättömämpiä kuin mitä flashplayer on.

--
@jhol

www.iki.fi/jhol

[Tapio Väättänen]

Mikä olisi prempi vaihtoehto? html6 vai unohtaa koko ajatus videotoistosta?

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Relational people do it on tables!" -- Timon kommentti tietoviikon
artikkeliin "Miksi tietokanta ei ole enää seksikäs?"

[Pertti Kosunen]

On 24.11.2016 3:56, Jouko Holopainen wrote:
> Koko pointtini on, että olen täysin 100% varma, ettei html5
> videotoistimet ole reiättömiä. Itse asiassa en usko niiden olevan
> juurikaan sen reiättömämpiä kuin mitä flashplayer on.

Yhdistetty animaatio-, ääni-, videotoistin ja ActionScript tulkki on
samalla viivalla pelkän mediatoistimen kanssa...

[Jouko Holopainen]

On 24.11.2016 04:19, Tapio Väättänen wrote:
> On 2016-11-24, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
>> On 22.11.2016 21:39, Reijo Korhonen wrote:
>>> Muuta kun olit huolissasi "314 remote code execution holes disclosed in
>>> Adobe Flash last year alone". niin huomasitko että tuoossa oli Adobe
>>> Flash -haavoittuvuus. HTML5 videot eivät ole Adobe Flashia, joten rikös
>>> ole vallan mainio asia, jos reikäinen videoiden toistojäärjestelmä
>>> korvataan reiättömällä videoiden toistojärjestelmällä.
>>
>> Koko pointtini on, että olen täysin 100% varma, ettei html5
>> videotoistimet ole reiättömiä. Itse asiassa en usko niiden olevan
>> juurikaan sen reiättömämpiä kuin mitä flashplayer on.
>
> Mikä olisi prempi vaihtoehto? html6 vai unohtaa koko ajatus videotoistosta?

Nykyisellä koodaustaidolla -halulla jne, unohtaa koko juttu.

Siis ihan aidosti, maailmasta ei löydy kuin kourallinen ihmisiä jotka
todella haluaa tietoturvaa ja on valmis näkemään vaivaa ja laittamaan
rahaa sen eteen. Yksikään iso firma (Microsoft, Google, Apple, jne.) ei
kuulu ryhmään (muutaman tonnin "bountyt" on puhdas savuverho).

--
@jhol

www.iki.fi/jhol

[Akseli Mäki]

Jouko Holopainen wrote:

>Nykyisellä koodaustaidolla -halulla jne, unohtaa koko juttu.

Unohtaa koko juttu?? Mitä ihmettä sitten kaikilla laajakaistayhteyksillä
tehdään?

[Martti Mäkelä]

Katsellaan televisiossa ... paitsi se televisiokin on nykyään pitkälti
html5-useragent. Ja oletettavasti vielä paljon huolimattomammin koodattu
kuin varsinaisissa tietokoneissa pyörivät käyttikset.

--
Pikaliima on pysyvää

[Reijo Korhonen]

Jos lähes jokainen ns- älytelevisio eli sellainen joka osaa toistaa
verkkosisältöä on rakennettu linuxin päälle, niin miten todistat
väitteesi?


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Vaattanen]

On 2016-12-19, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Sun, 18 Dec 2016 17:45:17 +0200, Martti Mäkelä wrote:
>

>> On 11/26/2016 04:19 PM, Akseli M???ki wrote:
>>> Jouko Holopainen wrote:
>>>
>>>> Nykyisellä koodaustaidolla -halulla jne, unohtaa koko juttu.
>>>
>>> Unohtaa koko juttu?? Mitä ihmettä sitten kaikilla
>>> laajakaistayhteyksillä tehdään?
>>>
>>>
>> Katsellaan televisiossa ... paitsi se televisiokin on nykyään pitkälti
>> html5-useragent. Ja oletettavasti vielä paljon huolimattomammin koodattu
>> kuin varsinaisissa tietokoneissa pyörivät käyttikset.
>
> Jos lähes jokainen ns- älytelevisio eli sellainen joka osaa toistaa
> verkkosisältöä on rakennettu linuxin päälle, niin miten todistat
> väitteesi?

Vaikka väite ei olekaan minun, niin niissä telkkareissa voi silti olla
omia lisäyksiä (joiden sorsat pitäisi GPL:n mukaan julkistaa), ja
vaikkei olisikaan, niihin ei välttämättä tule paikkauksia.

[Reijo Korhonen]

Eikös ihan kaisissa laitteissa olöe käyttöjärjestelmän lisäksi oli
lisäyksiä jos ne tekevät jotain hyödyllistä? Käyttöjärjestelmähän on sitä
varten että sen päälle saa pyörimään omia ohjelmia jotka sen hyödyllisen
tekevät.

Alakuperäinän väite oli kuitenkin aika mielikuvituksellinen eli että

"paitsi se televisiokin on nykyään pitkälti html5-useragent. Ja
oletettavasti vielä paljon huolimattomammin koodattu kuin varsinaisissa

tietokoneissa pyörivät käyttikset." joka tarkoittaisi, että televisdiossa
ei olisi tietokoneissä pyörivää käyttistä jann televisio olisi aika
pitkälle vain html5-useragent, paljon huolimattomammin koodattu kuin
varsinaisissa tietokoneissa pyörivät käyttikset."

TV:ssä on kuitenkin ihan sama käyttin joka on tietokoneissakin ja sen
päällä ihan samanlaisia ohjelmia mitä on tietokoneissakin.

Turvapäivotyksien suhteen lainsäädäntömme on aika alkukantainen eli
laitteiden turvapäivityksiä ei tarvitse lain mukaan tulla ollenkaan,
mutta jos TV on tietoturvariski, niin kyllä silloin laitevalmistajan maine
on vaarassa. Jos maine menee, myynti laskee ja tulee tappiota, joten
kuluttajat voivay omilla toimillaan painostaa laitevalmistajat
turvapäivitykset tekemään.

TV:den tietoturvasta on mediasssa aina silloin tällöin kohujutuja, mutta
eipä taida olla olemassa ensimmäistäkään tapoausta, jossa TV:n kautta
olisi murtauduttu kotiverkkoon ja tehty siellä pahaa. Omasta TV:stä ni ei
pääse minne tahansa verkossa, joten se on paremmassa turvassa kuin TV
joista pääsee seikkailemaan minne tahansa verkkoon.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Vaattanen]

On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Mon, 19 Dec 2016 20:45:28 +0000, Tapio Vaattanen wrote:
>
>> On 2016-12-19, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>> On Sun, 18 Dec 2016 17:45:17 +0200, Martti Mäkelä wrote:
>>>
>>>> On 11/26/2016 04:19 PM, Akseli M???ki wrote:
>>>>> Jouko Holopainen wrote:
>>>>>
>>>>>> Nykyisellä koodaustaidolla -halulla jne, unohtaa koko juttu.
>>>>>
>>>>> Unohtaa koko juttu?? Mitä ihmettä sitten kaikilla
>>>>> laajakaistayhteyksillä tehdään?
>>>>>
>>>>>
>>>> Katsellaan televisiossa ... paitsi se televisiokin on nykyään pitkälti
>>>> html5-useragent. Ja oletettavasti vielä paljon huolimattomammin
>>>> koodattu kuin varsinaisissa tietokoneissa pyörivät käyttikset.
>>>
>>> Jos lähes jokainen ns- älytelevisio eli sellainen joka osaa toistaa
>>> verkkosisältöä on rakennettu linuxin päälle, niin miten todistat
>>> väitteesi?
>>
>> Vaikka väite ei olekaan minun, niin niissä telkkareissa voi silti olla
>> omia lisäyksiä (joiden sorsat pitäisi GPL:n mukaan julkistaa), ja
>> vaikkei olisikaan, niihin ei välttämättä tule paikkauksia.
>
> Eikös ihan kaisissa laitteissa olöe käyttöjärjestelmän lisäksi oli
> lisäyksiä jos ne tekevät jotain hyödyllistä? Käyttöjärjestelmähän on sitä
> varten että sen päälle saa pyörimään omia ohjelmia jotka sen hyödyllisen
> tekevät.

Joo on, mutta sitten kun tehdään forkki, ja sitä forkkia ei ylläpidetä,
niin siihen jää ihan omat reikänsä, joita ei sitten koskaan korjata.

> Alakuperäinän väite oli kuitenkin aika mielikuvituksellinen eli että
> "paitsi se televisiokin on nykyään pitkälti html5-useragent. Ja
> oletettavasti vielä paljon huolimattomammin koodattu kuin varsinaisissa
> tietokoneissa pyörivät käyttikset." joka tarkoittaisi, että televisdiossa
> ei olisi tietokoneissä pyörivää käyttistä jann televisio olisi aika
> pitkälle vain html5-useragent, paljon huolimattomammin koodattu kuin
> varsinaisissa tietokoneissa pyörivät käyttikset."

Kaikissa standardi-jakeluissa on standardi-kernelit, ja niihin tulee
standardi-päivitykset. Mä en muista, että mun telkkari olisi kertonut
mitään saatavilla olevista päivityksistä yli vuoteen. Ainakaan vikaa
reikää ei ole siis paikattu ollenkaan.

> TV:ssä on kuitenkin ihan sama käyttin joka on tietokoneissakin ja sen
> päällä ihan samanlaisia ohjelmia mitä on tietokoneissakin.

Ei ole, kun jos ei tule päivityksiä, niin ei päivittää, vaikka Linuxissa
olisi kuinka päivitykset saatavilla. Ihan turha yrittää mennä
kernel.org:iin hakemaan päivitystä, kun ei sitä itse siihen töllöön saa
tiputettua ilman valmistajan evän liikuttelua.

> Turvapäivotyksien suhteen lainsäädäntömme on aika alkukantainen eli
> laitteiden turvapäivityksiä ei tarvitse lain mukaan tulla ollenkaan,
> mutta jos TV on tietoturvariski, niin kyllä silloin laitevalmistajan maine
> on vaarassa. Jos maine menee, myynti laskee ja tulee tappiota, joten
> kuluttajat voivay omilla toimillaan painostaa laitevalmistajat
> turvapäivitykset tekemään.

Tästä me juuri puhumme.

> TV:den tietoturvasta on mediasssa aina silloin tällöin kohujutuja, mutta
> eipä taida olla olemassa ensimmäistäkään tapoausta, jossa TV:n kautta
> olisi murtauduttu kotiverkkoon ja tehty siellä pahaa. Omasta TV:stä ni ei
> pääse minne tahansa verkossa, joten se on paremmassa turvassa kuin TV
> joista pääsee seikkailemaan minne tahansa verkkoon.

Sekin lienee vain ajankysymys. Vaihtoehtoisesti niitä voitaneen käyttää
DDoS-hyökkäyksiin, kuten juuri kävi, vaikkei kysessä ollutkaan TV:t.

[Reijo Korhonen]

On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:

>> TV:den tietoturvasta on mediasssa aina silloin tällöin kohujutuja,
>> mutta eipä taida olla olemassa ensimmäistäkään tapoausta, jossa TV:n
>> kautta olisi murtauduttu kotiverkkoon ja tehty siellä pahaa. Omasta
>> TV:stä ni ei pääse minne tahansa verkossa, joten se on paremmassa
>> turvassa kuin TV joista pääsee seikkailemaan minne tahansa verkkoon.
>
> Sekin lienee vain ajankysymys. Vaihtoehtoisesti niitä voitaneen käyttää
> DDoS-hyökkäyksiin, kuten juuri kävi, vaikkei kysessä ollutkaan TV:t.

Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on puolityhmiä
TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun yhdeyden, joten
nämä ovat varsin turvallisia.

Jos ostat oikeasti älyTV:n, niin silloin se maksaakin enemmän ja saatat
saadakin niitä päivityksiä ja ne on syytäkin asentaa. Mutta annas kun
veikkaan: sinullakin on puolityhmä TV etkä pysty saamaan sillä yhteyttä
vaaralliseen osoitteeseen vaikka kuinka yrität. (Tämä on sodat-ryhmä.)



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Vaattanen]

On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:

> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:
>
>>> TV:den tietoturvasta on mediasssa aina silloin tällöin kohujutuja,
>>> mutta eipä taida olla olemassa ensimmäistäkään tapoausta, jossa TV:n
>>> kautta olisi murtauduttu kotiverkkoon ja tehty siellä pahaa. Omasta
>>> TV:stä ni ei pääse minne tahansa verkossa, joten se on paremmassa
>>> turvassa kuin TV joista pääsee seikkailemaan minne tahansa verkkoon.
>>
>> Sekin lienee vain ajankysymys. Vaihtoehtoisesti niitä voitaneen käyttää
>> DDoS-hyökkäyksiin, kuten juuri kävi, vaikkei kysessä ollutkaan TV:t.
>
> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on puolityhmiä
> TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun yhdeyden, joten
> nämä ovat varsin turvallisia.

No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
saatiin häirittyä puolta internetiä.

> Jos ostat oikeasti älyTV:n, niin silloin se maksaakin enemmän ja saatat
> saadakin niitä päivityksiä ja ne on syytäkin asentaa. Mutta annas kun
> veikkaan: sinullakin on puolityhmä TV etkä pysty saamaan sillä yhteyttä
> vaaralliseen osoitteeseen vaikka kuinka yrität. (Tämä on sodat-ryhmä.)

Kuten sanottu, tässä on ihan oikea esimerkki ei niin kovin pitkän ajan
takaa.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"You cannot be too rich, too thin, or commit too often." -- Mark A.

[Jouko Holopainen]

Tässä esimerkki kuinka "vahvaa" tuo koodaaminen on:
http://www.pcworld.com/article/3147311/security/backdoor-accounts-found-in-80-sony-ip-security-camera-models.html

"Sonyn 80ssä eri turvakameramallissa takaportti"

Miksikö moinen? Koska sitä on helpompi debugata kun aina pääsee sisälle
ja ketä nyt kiinnostas korjata se.

Lähitulevaisuudessa valtiot tulenevat vaatimaan salaisen takaportin
jotta voivat valvoa pahoja "terrerestejä ja petoviilejä" sillä "eihän
laillisesti elävillä ole mitään syytä piilotella". Ja ajattele lapsia!

--
@jhol

www.iki.fi/jhol

[Reijo Korhonen]

On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:

> On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:

>> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on
>> puolityhmiä TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun
>> yhdeyden, joten nämä ovat varsin turvallisia.
>
> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
> saatiin häirittyä puolta internetiä.

Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita. Puolityhmät
TV:t eivät ole samassa mielessä "älylaitteita" jos tuollaista
harhaanjophtavaa nimitystä käytät, sillä puolityhmään TV:seen ei saa
yhteyttä internetistä eikä sitä voi määrätä ottamaan yhteyttä mihinkään
muuhun osoitteisiin kuin valmistajan säätämiin joista vastaa luotettava
ja rajoitettu palvelu.

Kun mietit asetelmaa, saatat huomata että viattomina pitämäsi
"vauvamonitorit" ovat varsin haavoittumia laitteita puolityhmiin TV:siin
verrattuna. En tiedä kuka noita "vauvamonitoreja" edes käyttää, sillä
perinteinen itkuhälytin kantaa niin pitkälle kuin tarvitsee eli samaan
asuntoon ja kauemmas ei vauvasta saa poistuakaan.

Parempi termi "älylaitteen" sijasta on pohtia laitteen verkkotoimintoja,
onko se potentiaaslisesti haavoittuva vai ei.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Väättänen]

On 2016-12-21, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:
>
>> On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:
>
>>> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on
>>> puolityhmiä TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun
>>> yhdeyden, joten nämä ovat varsin turvallisia.
>>
>> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
>> saatiin häirittyä puolta internetiä.
>
> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita.

Annatko ihan kunnon viitteen väitteellesi?

> Puolityhmät
> TV:t eivät ole samassa mielessä "älylaitteita" jos tuollaista
> harhaanjophtavaa nimitystä käytät, sillä puolityhmään TV:seen ei saa
> yhteyttä internetistä eikä sitä voi määrätä ottamaan yhteyttä mihinkään
> muuhun osoitteisiin kuin valmistajan säätämiin joista vastaa luotettava
> ja rajoitettu palvelu.
>
> Kun mietit asetelmaa, saatat huomata että viattomina pitämäsi
> "vauvamonitorit" ovat varsin haavoittumia laitteita puolityhmiin TV:siin
> verrattuna. En tiedä kuka noita "vauvamonitoreja" edes käyttää, sillä
> perinteinen itkuhälytin kantaa niin pitkälle kuin tarvitsee eli samaan
> asuntoon ja kauemmas ei vauvasta saa poistuakaan.

En ole löytänyt ko. hyökkäyksen detaljeja, joten en voi sen kummemmin
kommentoida. Minulla on kuitenkin sellainen vaisto, ettei sinullakaan ole
mitään detaljeja.

> Parempi termi "älylaitteen" sijasta on pohtia laitteen verkkotoimintoja,
> onko se potentiaaslisesti haavoittuva vai ei.

Televisiossa on huomattavasti enemmän älyä kuin vauvamonitorissa.
Vauvamonitori voisi periaatteessa vain striimata dataa ulospäin
palvelimelle, josta sen saa näkyviin esimerkiksi kännykällä. Siihen
vauvamonitoriin ei ole mikään pakko saada mitään yhteyttä.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"By the way, I was being sarcastic" -- Homer J. Simpson

[Jouko Holopainen]

On 22.12.2016 00:28, Reijo Korhonen wrote:
> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita. Puolityhmät
> TV:t eivät ole samassa mielessä "älylaitteita" jos tuollaista
> harhaanjophtavaa nimitystä käytät, sillä puolityhmään TV:seen ei saa
> yhteyttä internetistä eikä sitä voi määrätä ottamaan yhteyttä mihinkään
> muuhun osoitteisiin kuin valmistajan säätämiin joista vastaa luotettava
> ja rajoitettu palvelu.

Eiköhän jokaisessa äly-TV:ssä ole jonkinlainen selain, tai ainakin pääsy
jokaikiseen netfliksiin mitä on, että se "rajoitetusta".

Yksikin "väärä" mainos ja ... näin on monta selainta korkattu.

--
@jhol

www.iki.fi/jhol

[Tapio Väättänen]

On 2016-12-22, Tapio Väättänen <t...@iki.fi> wrote:
> On 2016-12-21, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:
>>
>>> On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>>> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:
>>
>>>> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on
>>>> puolityhmiä TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun
>>>> yhdeyden, joten nämä ovat varsin turvallisia.
>>>
>>> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
>>> saatiin häirittyä puolta internetiä.
>>
>> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
>> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita.
>
> Annatko ihan kunnon viitteen väitteellesi?

Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita, joihin
tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa ja -tunnus.

Yhtä kaikki, eik se televisonkaan osalta vaadi kuin jonkun pornotv-appin
levittämisen tai olemassaolevan palveluntarjoajan heikkouksien
hyödyntämisen, tai selain haavattuvuuden ja keitto on valmis.

Siksi itse pidän mieluummin tyhmän telkkarin ja ajelen mediapalvelinta
Ubuntulla, jonka voin ainakin itse päivittää.

--
sip:t...@tav.iki.fi http://tav.iki.fi

Vähän viiniä ja ruokaa ei vie meitä konkurssiin -- J.R. Ewing

[Martti Mäkelä]

On 12/20/2016 09:15 PM, Tapio Vaattanen wrote:
> Ei ole, kun jos ei tule päivityksiä, niin ei päivittää, vaikka Linuxissa
> olisi kuinka päivitykset saatavilla. Ihan turha yrittää mennä
> kernel.org:iin hakemaan päivitystä, kun ei sitä itse siihen töllöön saa
> tiputettua ilman valmistajan evän liikuttelua.

Itse asiassa, netistä taitaa löytyä ohjeita yhdelle jos toisellekin
laitteelle miten niihin saa päiviteltyä vaikka mitä.

https://iicybersecurity.wordpress.com/2015/07/07/how-to-easily-hack-your-smart-tv-samsung-and-lg/

En kyllä ole kokeillut, enkä edes lukenut juttua kokonaan, mutta eiköhän
noilla ohjeilla saa ainakin takuun raukeamaan.

--
Pikaliima on pysyvää

[Tapio Väättänen]

On 2016-12-22, Martti Mäkelä <mart...@yahoo.com> wrote:
> On 12/20/2016 09:15 PM, Tapio Vaattanen wrote:
>> Ei ole, kun jos ei tule päivityksiä, niin ei päivittää, vaikka Linuxissa
>> olisi kuinka päivitykset saatavilla. Ihan turha yrittää mennä
>> kernel.org:iin hakemaan päivitystä, kun ei sitä itse siihen töllöön saa
>> tiputettua ilman valmistajan evän liikuttelua.
>
> Itse asiassa, netistä taitaa löytyä ohjeita yhdelle jos toisellekin
> laitteelle miten niihin saa päiviteltyä vaikka mitä.

Varmasti, mutta ajattelin lähinnä valmistajan tarjoamana. Mulla on Philipsin
SMartTV, ja kyllä siihen päivityksiä tulee, mutta edellisestä on varmastikin
jo vuosi aikaa.

Ja kyllä mä sillä itseasiassa Netflixiä katson...

Kuitenkin, kyllä mä kaikin puolin pidän enemmän Mythbuntu-boxistani, jota
voin sitten katsella Kodi-laitteilla. Harmi vaan, että Kodissa ei ole
järjellisesti toimivaa Netflixiä.

--
sip:t...@tav.iki.fi http://tav.iki.fi

[Reijo Korhonen]

On Thu, 22 Dec 2016 02:05:38 +0000, Tapio Väättänen wrote:

> On 2016-12-21, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:
>>
>>> On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>>> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:
>>
>>>> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on
>>>> puolityhmiä TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun
>>>> yhdeyden, joten nämä ovat varsin turvallisia.
>>>
>>> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
>>> saatiin häirittyä puolta internetiä.
>>
>> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
>> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita.
>
> Annatko ihan kunnon viitteen väitteellesi?

Viite on oma tekstisi

On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:

> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
> saatiin häirittyä puolta internetiä.

sillä puolen intetrnetin häirintä ei onnistu jos niihoin ei saa
ulkopuiolelta yhteytta ja jos miillä ei pääse puolen internetin
osoitteisiin. Noinhan sinä kirjoitit.

Vai halusitko sotia älylaitekäsitteestä? Se ei onnistu, jollet kerro
millainen laite on mielestäsi älylaite. Ja vielä kerrot mikä yhteys
mielestäösi on älylaitekäsityksesi mukaisella älylaitteella ja
intertnetin häirinnällä niin ehkä siitäkin päästään sotimaan.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Thu, 22 Dec 2016 16:35:59 +0000, Tapio Väättänen wrote:

> Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita,
> joihin tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa ja
> -tunnus.

Olet asian ytimessä. Kattaa sen yleisimmän tavan murtautua netin kautta
toisen laittelle. Kattaa varmaan 99.9% tapauksista.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Thu, 22 Dec 2016 13:47:47 +0200, Jouko Holopainen wrote:

> On 22.12.2016 00:28, Reijo Korhonen wrote:
>> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
>> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita. Puolityhmät
>> TV:t eivät ole samassa mielessä "älylaitteita" jos tuollaista
>> harhaanjophtavaa nimitystä käytät, sillä puolityhmään TV:seen ei saa
>> yhteyttä internetistä eikä sitä voi määrätä ottamaan yhteyttä mihinkään
>> muuhun osoitteisiin kuin valmistajan säätämiin joista vastaa luotettava
>> ja rajoitettu palvelu.
>
> Eiköhän jokaisessa äly-TV:ssä ole jonkinlainen selain, tai ainakin pääsy
> jokaikiseen netfliksiin mitä on, että se "rajoitetusta".

Minun TV;ssäni ei ole selsainta, mutta sillä voi katsoa YLEn ja muidenkin
TV-asemien nettiin laittamia oohjrlmia. Youtubekin näkyy. Tähän
toiminnallisuuteen ei tarvita selainta eikä käyttäjän vapaasti antamia
nettisoitteita. TV:ni on siis puolityhmä, mutta nettiturvalölinen ja siinä
on kaikki nettiTV:n ominaisuudet joita kaipaan.

Onko sinun TV:si samalainen pouolityhmä TV vai eikä siinä näy Ylen Areena
yms. ollenkaan ja onko siinä selain? Jos on, niin naputteletko
halukasanat kapulkalla. Eikös se ole hankalaa? En ymmärrä miksi käytäisit
selainta TV:ssä TV:n kapulalla. Kerro minullekin miksi näin teet ja miksi
sellainen toi9minto mielestäsi on TV:ssä tarpeellinen. Moiset hommat
tuntuvat minusta kaikilla muilla laitteilla paljon helpommilta.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Väättänen]

On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Thu, 22 Dec 2016 02:05:38 +0000, Tapio Väättänen wrote:
>
>> On 2016-12-21, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>> On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:
>>>
>>>> On 2016-12-20, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>>>> On Tue, 20 Dec 2016 19:15:16 +0000, Tapio Vaattanen wrote:
>>>
>>>>> Se vähän riippuu. Aivan kuten minullakin suurimmalla osalla on
>>>>> puolityhmiä TV:tä, joilla saa rajoitettuihin osoitteisiin raajoitetun
>>>>> yhdeyden, joten nämä ovat varsin turvallisia.
>>>>
>>>> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
>>>> saatiin häirittyä puolta internetiä.
>>>
>>> Nuo laitteet näkyivät internetissä suoraan ja niihin sai ulkopuiolelta
>>> yhteyden. Siinä mielessä ne olivat nimenomaan älylaitteita.
>>
>> Annatko ihan kunnon viitteen väitteellesi?
>
> Viite on oma tekstisi
>
> On Wed, 21 Dec 2016 00:56:08 +0000, Tapio Vaattanen wrote:
>
>> No ei ne vauvamonitoritkaan mitään älylaitteita ollut, mutta niin vaan
>> saatiin häirittyä puolta internetiä.
>
> sillä puolen intetrnetin häirintä ei onnistu jos niihoin ei saa
> ulkopuiolelta yhteytta ja jos miillä ei pääse puolen internetin
> osoitteisiin. Noinhan sinä kirjoitit.

Laitteeseen ei ole mitään tarvetta suoranaisesti saada ulkopuolelta
yhteyttä, jotta se on haavoittuva. Riittää, että se laite saa yhteyden
ulkopuolelle, jota kautta se haavoittovuus saadaan ujutettua laitteeseen.

> Vai halusitko sotia älylaitekäsitteestä? Se ei onnistu, jollet kerro
> millainen laite on mielestäsi älylaite. Ja vielä kerrot mikä yhteys
> mielestäösi on älylaitekäsityksesi mukaisella älylaitteella ja
> intertnetin häirinnällä niin ehkä siitäkin päästään sotimaan.

Niin, minusta SmartTV on haavoittuva vaikka olisi kuinka tyhmä, jos se
laite saa yhteyden ulkopuolelle. Perinteinen TV:hän on pelkkä vastaanotin.
Sen hyödyntäminen on erittäin vaikeaa. Heti kun laite ottaa yhteyttä
ulkopuoliseen palveluihin, olkoonkin kuinka tyhmä laite, niin sitä on
potentiaalisesti mahdollista hyödyntää vaikka DDoS-hyökkäyksissä.

[Tapio Väättänen]

On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:

> On Thu, 22 Dec 2016 16:35:59 +0000, Tapio Väättänen wrote:
>
>> Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita,
>> joihin tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa ja
>> -tunnus.
>
> Olet asian ytimessä. Kattaa sen yleisimmän tavan murtautua netin kautta
> toisen laittelle. Kattaa varmaan 99.9% tapauksista.

Mulla ei ole mitään lukuja, mutta pahoin pelkään, että pelkän etäyhteyden
puuttuminen tekisi laitteesta tietoturvaltaan kelvollisen.

--
sip:t...@tav.iki.fi http://tav.iki.fi

The Internet is *full* - go away! -- Gert Doering

[Tapio Väättänen]

On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:

No on se Ylen Areenaa hyödyntävä appikin jonkinlainen selain, jossa voi
hyvinkin olla reikä, jota potentiaalisesti voi hyödyntää pahantekoon.

Sen lisäksi mistäs tiedät mitä takaportteja sine on jätetty?

--
sip:t...@tav.iki.fi http://tav.iki.fi

"pico?!? What kind of person uses pico?" -- Hackles at November 28 ,2001
http://hackles.org/cgi-bin/archives.pl?request=93

[Martti Mäkelä]

On 12/20/2016 08:24 PM, Reijo Korhonen wrote:
>
> Alakuperäinän väite oli kuitenkin aika mielikuvituksellinen eli että
> "paitsi se televisiokin on nykyään pitkälti html5-useragent. Ja
> oletettavasti vielä paljon huolimattomammin koodattu kuin varsinaisissa
> tietokoneissa pyörivät käyttikset." joka tarkoittaisi, että televisdiossa
> ei olisi tietokoneissä pyörivää käyttistä jann televisio olisi aika
> pitkälle vain html5-useragent, paljon huolimattomammin koodattu kuin
> varsinaisissa tietokoneissa pyörivät käyttikset."

Televisiota käytetään pääasiassa katseluun, vähemmän vaikkapa
tietokantojen ajoon.
Ja ainakin webos sovellukset näyttää javascript / html yhdistelmältä.
Eli käytännössä älytelevisio on html-päätelaite. Alla oleva käyttis ei
käyttäjälle näy. Eikä edes perus-appsien tekijälle.
Sillä käyttistasollakin ainakin laiteajurit lienevät laitevalmistajan
omia virityksiä.


--
Pikaliima on pysyvää

[Martti Mäkelä]

Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
ohjelmaa?
Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.

--
Pikaliima on pysyvää

[Juhani Varemo]

Martti Mäkelä wrote:

> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
> ohjelmaa?
> Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.

Minä ainakin olen sellainen 'joku' :-)

En tosin ole mikään viihteen mallikuluttaja muutenkaan.

[Ari Saastamoinen]

Martti Mäkelä <mart...@yahoo.com> writes:

> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai
> väitätkö että joku muka edelleen katsoisi antennin tai kaapelin
> kautta tulevaa ohjelmaa?

Hep!

--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje

[Viljo Mustonen]

Samoin. Ei ole netti mahdollisuutta. HDMI-liitäntä on, sitäkään ei ole
ollut tarvetta käyttää. :)

--
Viljo

[Mikko Tuumanen]

Martti Mäkelä <mart...@yahoo.com> kirjoitti 22.12.2016:
> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
> ohjelmaa?

VDR:llä katson, kunnes en enää katso mitään tai VDR:llä ei enää voi katsoa.

Saa yrittää ennustaa, kumpi tapahtuu ensin :-)

[Kara M'bola]

Fri, 23 Dec 2016 00:17:39 +0200, Martti Mäkelä wrote:
> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
> ohjelmaa?

Hämmentävää, jos oikeasti ajattelet noin.

> Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.

Tältä se valitettavasti rupeaa näyttämään. Onneksi ehdin pari vuotta
sitten oman älyvapaan plasmani hommaamaan. Siihen kytketty digiboksi
toki on älykäs, mutta pysyy kiltisti kotiverkon sisällä eikä siis
ilmoittele itsestään tuntemattomille tahoille.

--
:q!

[Akseli Mäki]

Reijo Korhonen wrote:

>Minun TV;ssäni ei ole selsainta, mutta sillä voi katsoa YLEn ja muidenkin
>TV-asemien nettiin laittamia oohjrlmia. Youtubekin näkyy. Tähän
>toiminnallisuuteen ei tarvita selainta eikä käyttäjän vapaasti antamia
>nettisoitteita. TV:ni on siis puolityhmä, mutta nettiturvalölinen ja siinä
>on kaikki nettiTV:n ominaisuudet joita kaipaan.

Puolityhmä ei ole yhtään sen vähemmän tyhmempi kuin äly-tv jossa on
piilotettu selain.

Mikä tahansa ohjelma joka lataa ja renderoi nettisivuja on selain.
Riippumatta siitä onko siinä ohjelmassa erillinen osoitepalkki johon
käyttäjä voi syöttää osoitteen.

Mikä on tämän laitteen nimi ja malli? Tälläisistä puolityhmistä laitteista
olen kuullut vasta sinulta.

Joskus halpoja laitteita tehdään siten, että teknisesti niissä on
toiminnallisuuksia jotka on kehitetty normaalihintaisia malleja varten,
mutta ne toiminnallisuudet ovat vain piilotettu tai kytketty pois.
Elektroniikassa näin voidaan tehdä koska kalliin ja halvat laitteen
kehittely ja kokoamiskustannukset ovat samaa luokkaa. Ainoastaan joidenkin
komponettien osalta hinta eroaa(telkkarissa esim näyttöpaneeli), mutta kun
mikropiiristä tai softasta kytketään pois toiminnallisuutta, saadaan siitä
halvasta laitteesta riittävän halpa jotta se ei syö paremman laitteen
markkinoita.

[Reijo Korhonen]

Tyypillistä sotimista. Vasitneet eivät varsimaisesrti liity lainaukseiin
ja uusisia väitteitä ei perustella mitenkään. Ei TV:den
käyttöjärjestelmän, joka tyypillisesti on linux, laiteajurit poikkea
mitenkään muiden linux-jakelun laiteajureista. Ei TV:n valmistaja niitä
koodaa, vaan totta kai käyttää nimenomaan ihan samoja laiteajureita,
joita esimerkiksi PC:den linux-jakeluissa käytetään. Ne ovat joko
geneerisiä jakelun laiteajureita, jonkun avoimen koodin kanssa
painiskelevan ryhmän teklemiä tai sitten suljettua kaupallista koodia,
kun laitteen valmistaja ei halua paljastaa laitepuolesta mitään
kilpaileville laitevalmistajille. Tilanne ei kuitenkaan ole mitenkään
erilaiknen TV:n linux-alustassa kuin PC:nkään linux-alustassa.

Tietenkään TV:n linux-käygttöjärjestelmän ohjelmistokoodaus ei ole
mitenkään erilaista kuin PC:ssä ajettavien ohjelmien, vaikka
sovellusohjelmat ovatkin tyypillisesti erilaisia kuin PC:ssä tai
palvelimissa eli TV:ssä ei todellakaan ajeta tyypillisesti tietokantoja,
mutta en ymmärrä miten tuokin toteamus liiyyyy alkuperäiseen väitteeseen,
että TV:ssä ajettava käyttis olisi huolimattomammin koodattu kuin PC:ssä
oleva, sillä se on ihan sama kuin PC:ssä oleva.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Thu, 22 Dec 2016 21:16:37 +0000, Tapio Väättänen wrote:

> On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Thu, 22 Dec 2016 13:47:47 +0200, Jouko Holopainen wrote:

>> Onko sinun TV:si samalainen pouolityhmä TV vai eikä siinä näy Ylen
>> Areena yms. ollenkaan ja onko siinä selain? Jos on, niin naputteletko
>> halukasanat kapulkalla. Eikös se ole hankalaa? En ymmärrä miksi
>> käytäisit selainta TV:ssä TV:n kapulalla. Kerro minullekin miksi näin
>> teet ja miksi sellainen toi9minto mielestäsi on TV:ssä tarpeellinen.
>> Moiset hommat tuntuvat minusta kaikilla muilla laitteilla paljon
>> helpommilta.
>
> No on se Ylen Areenaa hyödyntävä appikin jonkinlainen selain, jossa voi
> hyvinkin olla reikä, jota potentiaalisesti voi hyödyntää pahantekoon.

Jos mietit tilannetta, niin se on huomattavasti vaarattomampi kuin jos
TV:ssä olisi selasin jolla pääsee mihin vain. Nimittäin pahantekijä olisi
tässä tapauksessa YLE:ssä tai sen alihankkijalla töissä. Jos selaimella
pääsisi mihin vain, pahantekijä voisi olla kuka vaan, joka saa sisunsa
näkymään netissä. Jos siis vertaat puolityhmän TV:n
haavoittuvuuskerrointa, niin se on luokkaa yksi, jos kokoviisaan, mutta
vaarallisen TV:n vaarallisuuskerroin on maapallon väkiluku. ;-) Mutta
molemmissa on sama riski, hieman erilaisella kertoimella vaan.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Fri, 23 Dec 2016 13:50:39 +0200, Juhani Varemo wrote:

> Martti Mäkelä wrote:
>
>> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
>> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
>> ohjelmaa?
>> Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.
>
>
>
> Minä ainakin olen sellainen 'joku' :-)

Minäkin. Kuten lähes kaikki. Ihminen joka katsoo vain netin kautta TV:tä
on varsin harvinainen friikki.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Thu, 22 Dec 2016 21:14:39 +0000, Tapio Väättänen wrote:

> On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Thu, 22 Dec 2016 16:35:59 +0000, Tapio Väättänen wrote:
>>
>>> Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita,
>>> joihin tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa
>>> ja -tunnus.
>>
>> Olet asian ytimessä. Kattaa sen yleisimmän tavan murtautua netin kautta
>> toisen laittelle. Kattaa varmaan 99.9% tapauksista.
>
> Mulla ei ole mitään lukuja, mutta pahoin pelkään, että pelkän
> etäyhteyden puuttuminen tekisi laitteesta tietoturvaltaan kelvollisen.

Aivan. Silloin sitä voi väärinkäyttää vain paikallisesti ja tämä taasen
edellyttää vastaanottajan taajuudellepääsemistä, mutta muista uude,pien
tälläisten laitteiden salaavam liikenteen, jolloin naapuri ei pääse
salakkuntelemaan ja salaktsom,aan naapuriaan. Paikallinen tietotuva on
siis ainakin paremmisdsa laitteissa kunnossa, mutta kaikkia kiinanihmeitä
en voi tuntea.

Jos laitteeseen sen sijaan pääsee netistä kiinni, niin siina on se vaaran
paikka ja riski toteutuu, jos salasanat j'ättää oletusarvoiseksiu ja
nettiyhden jättää päälle. Laitteen saisi tietoturvallisemmaksi aika
helposti niin, että se ei suosyuisi laittamaan nettitgteyttä päälle ennen
kun käyttäjätunnus ja salasanat on vaihdettu riittävän vaikeaksi muiden
arvata.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Väättänen]

On 2016-12-25, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Thu, 22 Dec 2016 21:14:39 +0000, Tapio Väättänen wrote:
>
>> On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>>> On Thu, 22 Dec 2016 16:35:59 +0000, Tapio Väättänen wrote:
>>>
>>>> Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita,
>>>> joihin tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa
>>>> ja -tunnus.
>>>
>>> Olet asian ytimessä. Kattaa sen yleisimmän tavan murtautua netin kautta
>>> toisen laittelle. Kattaa varmaan 99.9% tapauksista.
>>
>> Mulla ei ole mitään lukuja, mutta pahoin pelkään, että pelkän
>> etäyhteyden puuttuminen tekisi laitteesta tietoturvaltaan kelvollisen.
>
> Aivan. Silloin sitä voi väärinkäyttää vain paikallisesti

Ei, sitä se nimenomaan ei tarkoita. Edelleen siinä sinun Areena-appissasi
voi olla reikä, jota hyödyntämällä voidaan tehdä paljon pahaa. Se ei vaadi
etäyhteyttä.

[Jouko Holopainen]

On 22.12.2016 22:18, Reijo Korhonen wrote:
> On Thu, 22 Dec 2016 13:47:47 +0200, Jouko Holopainen wrote:
>> Eiköhän jokaisessa äly-TV:ssä ole jonkinlainen selain, tai ainakin pääsy
>> jokaikiseen netfliksiin mitä on, että se "rajoitetusta".
>
> Minun TV;ssäni ei ole selsainta, mutta sillä voi katsoa YLEn ja muidenkin
> TV-asemien nettiin laittamia oohjrlmia. Youtubekin näkyy. Tähän
> toiminnallisuuteen ei tarvita selainta eikä käyttäjän vapaasti antamia
> nettisoitteita. TV:ni on siis puolityhmä, mutta nettiturvalölinen ja siinä
> on kaikki nettiTV:n ominaisuudet joita kaipaan.

Jos siinä näkyy Youtube, niin se ei ole IMHO turvallinen.

> Onko sinun TV:si samalainen pouolityhmä TV vai eikä siinä näy Ylen Areena
> yms. ollenkaan ja onko siinä selain?

Minun TV:ni ei ole netissä eikä koskaan tule olemaan. Olen myös
poistanut blu-ray soittimeni verkosta koska katsoin sen olevan täysin
soveltumaton netin käyttöön (siihen tuli päivityksiä joiden asennus
kesti *todella* kauan).

Ylen Areenaan (nelonen/mtv/fox/filmon.tv/jne.) käytän Android tikkua (en
muista mikä malli mulla, joku tällanen):
https://www.aliexpress.com/item/RK3188T-2G-16G-Android-4-4-TV-Stick-Dongle-DLNA-XBMC-WiFi-Bluetooth-4-0-Quad/32362113893.html

Eipä sekään turvallinen ole ... mutta "vähän" tuetumpi, päivitetympi ja
parempi käytettävyys ja kaikki muukin kuin vaikka tuossa blu-räyssäni.
Sitten kun päivityksiä ei saa, voin ostaa uuden eikä hinta kauhistuta.
Tuolla selaa serverini levyvarastoakin *ilman DLNA:ta* (VLC löytyy
Androidille -> flacit soi).

> Jos on, niin naputteletko
> halukasanat kapulkalla. Eikös se ole hankalaa? En ymmärrä miksi käytäisit
> selainta TV:ssä TV:n kapulalla.

En minäkään. Mulla on bluetooth näppäimistö tolle Android tikulle.

> Kerro minullekin miksi näin teet ja miksi
> sellainen toi9minto mielestäsi on TV:ssä tarpeellinen. Moiset hommat
> tuntuvat minusta kaikilla muilla laitteilla paljon helpommilta.

Eräs talouteeni kuuluva halusi seurata ITV:tä (filmon.tv -> ...) ja
sieltä erästä laulukilpailua. Talouteni parhailla kaiuttimilla.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 22.12.2016 23:14, Tapio Väättänen wrote:
> On 2016-12-22, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Thu, 22 Dec 2016 16:35:59 +0000, Tapio Väättänen wrote:
>>
>>> Ok, nyt löysin detaljeja. Eli hyökkäyksessä on käytetty laitteita,
>>> joihin tosiaan pääsee etänä käsiksi ja joihin on jäänyt oletussalasa ja
>>> -tunnus.
>>
>> Olet asian ytimessä. Kattaa sen yleisimmän tavan murtautua netin kautta
>> toisen laittelle. Kattaa varmaan 99.9% tapauksista.
>
> Mulla ei ole mitään lukuja, mutta pahoin pelkään, että pelkän etäyhteyden
> puuttuminen tekisi laitteesta tietoturvaltaan kelvollisen.

Veikkaisin, että *tällä hetkellä* kun tuo 0.1% riittää niin tuo 99.9%
pitänee paikkaansa. Mutta jos (kun?) IoT valmistajat saavat pas*ansa
jotenkuten kuntoon niin sitten siirrytään "fiksumpiin" hyökkäystapoihin.
Jolloin etäyhteyden puuttuminen ei riitä alkuunkaan.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 23.12.2016 00:17, Martti Mäkelä wrote:
> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
> ohjelmaa?

Minä.

> Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.

Minä en ehdi/jaksa katsoa kaikkia leffoja y.m. jotka maksuttomat kanavat
työntää, mulla ei ole mitään hinkua maksaa ties kuinka paljon
netflikseistä joita en ehtisi/jaksaisi kuitenkaan katsoa kahta kertaa
vuodessa useammin. Ei ihan sen paljonko-lie/kk arvoista.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 23.12.2016 18:28, Akseli M�ki wrote:
> Mikä on tämän laitteen nimi ja malli? Tälläisistä puolityhmistä laitteista
> olen kuullut vasta sinulta.

On noita ollut jo vuosia, esim. mun Samsung blu-räy:ssä on "selain" ja
"aplikaatioita" joilla voi(si) katsoa jotain netti-jotain (sää, netflix,
jne). Jos päästäisi sen nettiin. On jo 7v vanha.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

Eikä tarvi olla edes areena-appissa. Reikä esim. SSL-kirjastossa riittää
(näitä on ollutkin useampi) jolloin "viallinen" mainos korkkaa.

Sitten kun laskee MTV, FOX, Nelonen, Yle, jne.; Netflix¹, Youtube², jne.
appit. Ja eiköhän ole taattua että jokaisessa on pirusti reikiä.

¹ Montakohan filmipalvelua on jo nyt? 5v päästä? Netti-tv saitteja on jo
nyt tuhansia, eli selain "tarvitaan".
² Montakohan videosaittia on jo nyt?

--
@jhol

www.iki.fi/jhol

[Juhani Varemo]

Reijo Korhonen wrote:

> Tyypillistä sotimista. Vasitneet eivät varsimaisesrti liity lainaukseiin
> ja uusisia väitteitä ei perustella mitenkään.

Eikö täällä pidäkin sotia... vaikka sitten tyypillisesti :-)

> Ei TV:den
> käyttöjärjestelmän, joka tyypillisesti on linux, laiteajurit poikkea
> mitenkään muiden linux-jakelun laiteajureista. Ei TV:n valmistaja niitä
> koodaa, vaan totta kai käyttää nimenomaan ihan samoja laiteajureita,
> joita esimerkiksi PC:den linux-jakeluissa käytetään.

En olisi tuosta aivan ehdottoman varma. Mulla on tunne että se telkkariin
integroitu rauta ei ole kovin lähellä normi PC:tä. Ja silloin voi myös olla
että sinne on tehty muunneltuja tai peräti omia ajureita + joka tapauksessa
muutakin koodia. Kun koodiin kosketaan periaatteella 'pomo sanoi että tällä
on kiire', jää aina riski että jokin, vaikkapa juuri tietoturvaan liittyvä
seikka jää huomaamatta. Kunnon testaamisesta puhumattakaan.

Ei sinne kuitenkaan vakio-Ubuntua tipauteta, siitä olen 100% varma.

En ole koskaan tutkinut että minkälainen tuollaisen äly-tv:n äly oikeasti
on, mutta oletan että siellä ei ole välttämättä edes samoja piirisarjoja
kuin PC:ssä? Varmasti kuitenkin IO eroaa normaalista PC:stä monellakin
tavalla. Joka tapauksessa sen pitää keskustella telkkarin muiden
erikoistuneiden prosessorien kanssa.
En usko että esim sen tietokoneen näkemä näytönohjain olisi mikään yleinen
nVidia vaan pikemminkin se komennetaan kirjoittelemaan väylään, jossakin
muualla sijaitsevaan näyttömuistiin tai jotakin.

Jos joku noiden huollon kanssa työskentelevä tietää millaisista lohkoista
nuo rakennetaan niin olisi mukava tietää.
Googletin 'smart-tv block diagram' ja vaikuttaa että lähestymistapoja
saattaa olla yhtä monta kuin valmistajaakin. Toteutuksia löytyy suurin
piirtein yhden sirun SOC-ratkaisuista aina puoleen tusinaan erillisiä
spesiaaliprosessoreita.


Toinen juttu on sitten vielä se että mitä vaikkapa verkkoliikenteen kautta
sallitaan tehdä - jätetäänkö sinne esim. huoltoa tai päivityksiä varten
dokumentoimaton portti avoimeksi - vahingossa tai jopa tarkoituksella.
Tämmöisiähän ne virheet toisinaan ovat.

[Martti Mäkelä]

On 12/26/2016 12:10 AM, Reijo Korhonen wrote:
> ypillistä sotimista. Vasitneet eivät varsimaisesrti liity lainaukseiin
> ja uusisia väitteitä ei perustella mitenkään. Ei TV:den
> käyttöjärjestelmän, joka tyypillisesti on linux, laiteajurit poikkea
> mitenkään muiden linux-jakelun laiteajureista. Ei TV:n valmistaja niitä
> koodaa, vaan totta kai käyttää nimenomaan ihan samoja laiteajureita,
> joita esimerkiksi PC:den linux-jakeluissa käytetään. Ne ovat joko

Eiköhän isoilla tv-valmistajilla ole ihan omat grafiikkapiirit
televisioita varten. Oma piiri, oma laiteajuri. Televisiossa tarvekin on
hiukan erilainen, siinä varmaankin tarvitaan tehokas videopurku raudalla.
Sen sijaan 3d-renderöinnin nopeus ei välttämättä ole kovin kriittinen.
Kai tuokin muuttuu, kun ihmiset alkavat pelata nettipelejä isolla ruudulla.

--
Pikaliima on pysyvää

[Reijo Korhonen]

Vastaa kysymykseen _kuka_ voi hyödfyntää tuota reikää ja _mistä_
verkkosijainnista voi hyödyntää. Kun vastaat noihbin kysymyksiin ymmärrät
riskin suuruuden verrattuna televisoiohin, jotksa ovat "kokoälykkäitä"
eli ottavat yhteyttä mihin tahansa ja kehen tahansa.

Puolityhmän TV:n Areena appsit voidaan tehdä sellaisiksi, että niissä on
kiinteä autentikointi joihin ei pääse väliin ja salausavaimia ei tarvite
jaella tai siirrellä kellekään. pätevän tietoturvan saa paljon
pienemmällä vaivalla kuin kokoviisaissa TV:ssä ja kirjastoita käytetään
huomattavasti pienempää osaa kuin kokoviisaissa TV:ssä joten
haavoittuvuuksiakin niihin tulee vähemmän.

Puolityhmä TV ei todellakaan ole nettiselain joka oyyaisi yhteyttä Ylen
Areenan nettisivustoon siten kuten tietokoneen nettiselain tekee. Areena-
apsi ottaa yhteyttä YLE:n Areena-palveluun jokas on suljettu palvelu
elikkä käytännössä sikaitsee ei portissa ja käyttää omaa protokollaansa
ja autentikointiaan. Puolityhmän TV:n kaikki muutkin nedttipalvelut ovat
samanlaisia suljettuja palveluita hyödyntäviä joten ei niitä koske
mainitut ssl-haavoittuvuudet yms.

Jos puhutte "kokoviisaista" TV:stä, niin kertokaa miten niiden
nettripalvelut toimivat niin voimme keskustella niistä erikseen ja pohtia
niiden haavoittuvuuksia erikseen, sillä niissä toiminta on todellakin
täysin edrilaista, jos niissä pystytään ottamaan yhteuttä mihin ja kehen
tahansa netissä. Tai edes jonnekin, jonka alkuosoite on jokin muu kuin
tietty palvelin (tai kiinteä nettisoite).


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Martti Mäkelä]

Oletatko, että areenalla on erilliset portit ja protokollat
nettiselaimia, älytelevisioita ja puolityhmiä televisioita varten? Ja
edelleen, oletatko että ip-osoite johon otetaan yhteyttä on kovakoodattu
siihen puolityhmään areena-appsiin? Vai käyttäisikö se sittenkin
nimipalvelinta?

Mistä nuo appsit sitten ladataan? Noiden puolityhmien tapauksessa
todennäköisesti jostain laitetoimittajan reposta. Miten tuo osoite?
Tuleeko se nimipalvelimesta vai onko ip-kovakoodattu? Millaisia
suojauksia tässä on erilaisia hyökkäyksiä vastaan? Oma arvaus on, että
ei oikeastaan minkäänlaisia, valmistaja kun luottaa ettei kukaan yritä
hakkeroida noin yksinkertaista laitetta.

--
Pikaliima on pysyvää

[Tapio Väättänen]

On 2016-12-28, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Mon, 26 Dec 2016 03:57:35 +0000, Tapio Väättänen wrote:
>
>> On 2016-12-25, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>
>>>> Mulla ei ole mitään lukuja, mutta pahoin pelkään, että pelkän
>>>> etäyhteyden puuttuminen tekisi laitteesta tietoturvaltaan kelvollisen.
>>>
>>> Aivan. Silloin sitä voi väärinkäyttää vain paikallisesti
>>
>> Ei, sitä se nimenomaan ei tarkoita. Edelleen siinä sinun
>> Areena-appissasi voi olla reikä, jota hyödyntämällä voidaan tehdä paljon
>> pahaa. Se ei vaadi etäyhteyttä.
>
> Vastaa kysymykseen _kuka_ voi hyödfyntää tuota reikää ja _mistä_
> verkkosijainnista voi hyödyntää.

Kuka tahansa, joka tuntee heikkouden ja osaa sitä hyödyntää. Sinun
logiikallasi vaikkapa Adobe Flashin haavoittuvuudet ovat merkityksettömiä,
jos koneeseen, jolla sitä käytetään, ei ole etäyhteyttä.

> Kun vastaat noihbin kysymyksiin ymmärrät
> riskin suuruuden verrattuna televisoiohin, jotksa ovat "kokoälykkäitä"
> eli ottavat yhteyttä mihin tahansa ja kehen tahansa.

Jälleen, logiikkasi on tasoa, ainoastaan palvelin on altis
haavoittuvuuksille, koska siihen on etäyhteys. Työasema, johon ei ole
etäyhteyttä, ei mukaasi ole haavoittuva.

> Puolityhmän TV:n Areena appsit voidaan tehdä sellaisiksi, että niissä on
> kiinteä autentikointi joihin ei pääse väliin ja salausavaimia ei tarvite
> jaella tai siirrellä kellekään. pätevän tietoturvan saa paljon
> pienemmällä vaivalla kuin kokoviisaissa TV:ssä ja kirjastoita käytetään
> huomattavasti pienempää osaa kuin kokoviisaissa TV:ssä joten
> haavoittuvuuksiakin niihin tulee vähemmän.

Kyllähän virheettömät koodarit ne sellaisiksi tekee. Nyt täytyy vain etsiä
virheettömiä koodareita. Tietty sen Areena palvelinpuolen koodarien täytyy
myös olla virheettömiä.

> Puolityhmä TV ei todellakaan ole nettiselain joka oyyaisi yhteyttä Ylen
> Areenan nettisivustoon siten kuten tietokoneen nettiselain tekee.

Kaksi sanaa. DNS injection. Neljä sanaa: Man in the middle.

> Areena-
> apsi ottaa yhteyttä YLE:n Areena-palveluun jokas on suljettu palvelu
> elikkä käytännössä sikaitsee ei portissa ja käyttää omaa protokollaansa
> ja autentikointiaan. Puolityhmän TV:n kaikki muutkin nedttipalvelut ovat
> samanlaisia suljettuja palveluita hyödyntäviä joten ei niitä koske
> mainitut ssl-haavoittuvuudet yms.

Todella suljettu onkin. Mitäs nämä komentorivi aplikaatiot on, joilla
Arenasta voi ladata ohjelmat omalle koneelleen. Onko ne saanut sen suljetun
protokollan dokumentaation käsiinsä?

> Jos puhutte "kokoviisaista" TV:stä, niin kertokaa miten niiden
> nettripalvelut toimivat niin voimme keskustella niistä erikseen ja pohtia
> niiden haavoittuvuuksia erikseen, sillä niissä toiminta on todellakin
> täysin edrilaista, jos niissä pystytään ottamaan yhteuttä mihin ja kehen
> tahansa netissä. Tai edes jonnekin, jonka alkuosoite on jokin muu kuin
> tietty palvelin (tai kiinteä nettisoite).

Sinä voit mielestäni olla vaikka kuinka sinisilmäinen puolityhmän TV:si
kanssa, mutta minä en ole vastaavasti yhtä optimistinen. Eipä sillä, minä en
myöskään pelkää tarjota palveluita kodistani verkkoon. En ole paranoidi,
mutta tiedostan riskit. Jopa silloin, kun en tarjoa mitään verkkoon.

--
sip:t...@tav.iki.fi http://tav.iki.fi

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Puolityhmän TV:n Areena appsit voidaan tehdä sellaisiksi, että niissä on
> kiinteä autentikointi joihin ei pääse väliin ja salausavaimia ei tarvite
> jaella tai siirrellä kellekään. pätevän tietoturvan saa paljon
> pienemmällä vaivalla kuin kokoviisaissa TV:ssä ja kirjastoita käytetään
> huomattavasti pienempää osaa kuin kokoviisaissa TV:ssä joten
> haavoittuvuuksiakin niihin tulee vähemmän.

Tietoturvan kannalta ei ole olemassa sellaista laitetta kuin
puolityhmä televisio. On joko ns. tyhmä jossa ei ole mitään
nettijuttuja yms, tai sitten on laite, jossa on käyttöjärjestelmä,
nettipino ja sovelluksia.

Toki tuollaisella puolityhmäksi sanomallasi laitteella on jonkin
verran rajatumpi hyökkäysvektori sen rajatumman sovellusvalikoiman
ansiosta, mutta isolla todennäköisyydellä se saattaisi käyttää
striimien näyttämiseen gstreamer-hässäkkää (jota aika monessa
embeddedlaitteessa käytetään videotoistoon), ja siinä on
aikaisemminkin ollut bugeja, joilla se on saatu suorittamaan omaa
ohjelmakoodia antamalla sen pureskella sopivalla tavalla muokattua
mediasisältöä. Ja esim. DNS-poisoning -tekniikalla tuo on mahdollista
ohjata väärälle palvelimelle, josta tuollaista "vääränlaista" sisältöä
voidaan tarjoilla. Tai sitten jos noissa jossain televisiossa
olevissa sovelluksissa näytetään mainoksia, niin on tapahtunut
useammin kuin kerran, että mainoksiin on saatu ujutettua haittiksia.

> Puolityhmä TV ei todellakaan ole nettiselain joka oyyaisi yhteyttä Ylen
> Areenan nettisivustoon siten kuten tietokoneen nettiselain tekee.

> Areena- apsi ottaa yhteyttä YLE:n Areena-palveluun jokas on suljettu palvelu

> elikkä käytännössä sikaitsee ei portissa ja käyttää omaa protokollaansa

> ja autentikointiaan. Puolityhmän TV:n kaikki muutkin nedttipalvelut ovat
> samanlaisia suljettuja palveluita hyödyntäviä joten ei niitä koske
> mainitut ssl-haavoittuvuudet yms.

Ei "samalla tavalla", mutta ottaa yhteyttä kuitenkin.

Mulla ei ole tuollaista nettiin kytkettävää televisiota, mutta tossa
bluray -soittimessa on tuollainen YLE-areena appi (ja täyttänee
määritelmäsi puolityhmästä TV:stä). Ja se ainakin näyttäis ohjelmaa
katsellessa juttelevan HTTPS-sokettiin Akamain pilveen.

[Reijo Korhonen]

On Wed, 28 Dec 2016 18:13:47 +0200, Martti Mäkelä wrote:

> Oletatko, että areenalla on erilliset portit ja protokollat
> nettiselaimia, älytelevisioita ja puolityhmiä televisioita varten?

Saattaa olla näin, mutta pointti om se että puolityhmä TV ei koskaan ota
yhteyttä suoraan mihinkään nettiosoitteeseen, vaan käyttää TV-valmistajan
välityspalvelinta ja se protikollat ovat suljettuja ja turvallisia. TV-
vamistajan välityspalvelinta tietenkin pitää päivittää kun
tietorurvareikiä ilmenee, mutta päisitettäviä kohteita on yksi eikä koko
maailman puolityhmät TV:t.

Itse asiassa TV:den jakaminen puolityhmiin, välityspalvalibnta käyttäviin
turvallisiin televisioihin ja kokoviisaisiin, suoraan mihin tahansa
osoitteeseen yhteyttä ottaviin televisioihin ei ole minun keksimä asia,
vaan siitä on ollut juttua jo vuosia, kun nettiin pääseviern TV:den
turvallisuude3sta alettiin kohista. Toki termini on varsin popularistinen
mutta ei tuolle asialle taida olla virallisempaakaan nimeä. Yllä olevasta
kuvauksesta ymmärrätte kuitenkin, mihin perustuu TV-valmistajan
hallinnoimaa välityspalvelista käyttävän TV:n tietoturvalliosuus
verrattuna TV:seen joka ottaa yhteyttä mihin ahansa suoraan.

TV-valmistajilla on tietenkin tietoturvan lisäksi muukin syy tukera
välityspalvelinrfatkaisua, sillä kun TV:n on saatu kuluttajille, niin jos
oma sulöjettu protokolla on kattava, niin palveluja TV:;ssä voi muuttaa
ja kehittää tietyissä rajoissa maailman muuttuessa ilman että TV:tä
pitäisi päivittää, sillä ainoa muuttuva asia on TV-yhtiön välityspalvelin
ja hups vaan, asiakkaiden TV:ssä onkin ihan uudenlaisia palveluita tai
sisältöjä. Tämä on huomattavasti halvemoi toteuttaa välituspalvelimeen
kuin järjestää kaikkien TV:den päivitys. Ei minunkaan puolityhmään
TV:seeni ole tullut päivityksen päivitystä vaikka palvelut sen sisällä
ovat muuttuneet, muistaakseni YLEn Areenakin vaikka sen palvelun
peruslogiikka on pysynyt samana.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Saattaa olla näin, mutta pointti om se että puolityhmä TV ei koskaan ota
> yhteyttä suoraan mihinkään nettiosoitteeseen, vaan käyttää TV-valmistajan
> välityspalvelinta ja se protikollat ovat suljettuja ja turvallisia. TV-
> vamistajan välityspalvelinta tietenkin pitää päivittää kun
> tietorurvareikiä ilmenee, mutta päisitettäviä kohteita on yksi eikä koko
> maailman puolityhmät TV:t.

Kuten edellisessä viestissäni todistin bluureisoittimessa olevan
areenasovelluksen juttelevan ihan suoraan Akamain palvelimelle
HTTPS-porttiin - kulkematta minkään proxyn läpi. (Tokikaan
bluray-soitin ei ole televisio, mutta en osaa nähdä, miksi televisiot
toimisivat tuossa suhteessa jotenkin eri tavalla)

> Itse asiassa TV:den jakaminen puolityhmiin, välityspalvalibnta käyttäviin
> turvallisiin televisioihin ja kokoviisaisiin, suoraan mihin tahansa

Osaisitko nimetä jonkun tuollaisen television, joka juttelee vain
välityspalvelimen läpi, niin sitten joku tuollaisen television
omistava voisi väitteesi joko vahvistaa tai kumota. Minä en ilman
vahvistusta tuohon proxyyn usko.

[Reijo Korhonen]

On Thu, 29 Dec 2016 14:03:45 +0200, Ari Saastamoinen wrote:

> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> Saattaa olla näin, mutta pointti om se että puolityhmä TV ei koskaan
>> ota yhteyttä suoraan mihinkään nettiosoitteeseen, vaan käyttää
>> TV-valmistajan välityspalvelinta ja se protikollat ovat suljettuja ja
>> turvallisia. TV- vamistajan välityspalvelinta tietenkin pitää päivittää
>> kun tietorurvareikiä ilmenee, mutta päisitettäviä kohteita on yksi eikä
>> koko maailman puolityhmät TV:t.
>
> Kuten edellisessä viestissäni todistin bluureisoittimessa olevan
> areenasovelluksen juttelevan ihan suoraan Akamain palvelimelle
> HTTPS-porttiin - kulkematta minkään proxyn läpi. (Tokikaan
> bluray-soitin ei ole televisio, mutta en osaa nähdä, miksi televisiot
> toimisivat tuossa suhteessa jotenkin eri tavalla)

Jos Areenasovelluksesi juttelee Akamain palvelimelle eikä YLEn
palvelimelle, niin Akamain palvelin on proxy eli välityspalvelin joka voi
tarjota suojatun ja rajoitetun toiminnan. Välityspalvelimen ei tarvitse
tarjkota suorra putkea palveluun, vaan se voi ja tässä tapauksessa
ajattelenkin aina tarjoavan dedikoidun palvelun. Https-protokolla on
istunnollinen ja suojattu eli televisiosi voi serfikaattien avulla
varmistaa että vastapäässä on oikea palvelin ja toisinpäin, Akamanin
palvelin voi varmistaa että sisään ei ole pyrkimässä vihulainen.

Akamai mainostaa itseään näin <https://www.akamai.com/us/en/about/>
"Akamai is the global leader in Content Delivery Network (CDN) services,
making the Internet fast, reliable and secure for its customers. The
company's advanced web performance, mobile performance, cloud security
and media delivery solutions are revolutionizing how businesses optimize
consumer, enterprise and entertainment experiences for any device,
anywhere."

Jos Areenasovelluksesi juttelisi suoraan Ylen palvelimen kanssa samaan
ositteeseen kuin tietokoneesi selain, se olisi selain. Ei välttämätä ihan
avoin selain jos et voisi itse antaa sille nettisoitteita.

Huomaat ehkä, että Arenasovelluksesi näyttää todellakin käyttävän proxyä
eli välityspalvelinta ja tässä tapauksessa palvelu näyttää olevan
dedikoitua ja turvalisuuteen panostavaa.

>
>> Itse asiassa TV:den jakaminen puolityhmiin, välityspalvalibnta
>> käyttäviin turvallisiin televisioihin ja kokoviisaisiin, suoraan mihin
>> tahansa
>
> Osaisitko nimetä jonkun tuollaisen television, joka juttelee vain
> välityspalvelimen läpi, niin sitten joku tuollaisen television omistava
> voisi väitteesi joko vahvistaa tai kumota. Minä en ilman vahvistusta
> tuohon proxyyn usko.

Ilmeisesti sinulla on juuri tuollainen välityspalvelinta käyttävä
bluureisoitin joten voit itse katsoa sen merkin. Jos sinulla on samaa
merkkiä oleva TV, niin sekin on varmaan sellainen. Ainakin minun TV:ssäni
ja DVD-soittimessasi on saman näköinen ohjelmisto eli varmaankin sama
platfoemi ja ohjelmisto, jossa tosin ohjelmistojen versiot voivat olla
erilaiset.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Jos Areenasovelluksesi juttelisi suoraan Ylen palvelimen kanssa samaan
> ositteeseen kuin tietokoneesi selain, se olisi selain. Ei välttämätä ihan
> avoin selain jos et voisi itse antaa sille nettisoitteita.

> Huomaat ehkä, että Arenasovelluksesi näyttää todellakin käyttävän proxyä
> eli välityspalvelinta ja tässä tapauksessa palvelu näyttää olevan
> dedikoitua ja turvalisuuteen panostavaa.

> Ilmeisesti sinulla on juuri tuollainen välityspalvelinta käyttävä
> bluureisoitin joten voit itse katsoa sen merkin. Jos sinulla on samaa

Mutta kun Windowsin selaimessakaan näkyvä areenastriimi ei tule
suoraan YLE:n palvelimelta :)

[Martti Mäkelä]

On 12/29/2016 06:47 PM, Ari Saastamoinen wrote:
> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> Jos Areenasovelluksesi juttelisi suoraan Ylen palvelimen kanssa samaan
>> ositteeseen kuin tietokoneesi selain, se olisi selain. Ei välttämätä ihan
>> avoin selain jos et voisi itse antaa sille nettisoitteita.
>
>> Huomaat ehkä, että Arenasovelluksesi näyttää todellakin käyttävän proxyä
>> eli välityspalvelinta ja tässä tapauksessa palvelu näyttää olevan
>> dedikoitua ja turvalisuuteen panostavaa.
>
>> Ilmeisesti sinulla on juuri tuollainen välityspalvelinta käyttävä
>> bluureisoitin joten voit itse katsoa sen merkin. Jos sinulla on samaa
>
> Mutta kun Windowsin selaimessakaan näkyvä areenastriimi ei tule
> suoraan YLE:n palvelimelta :)
>

Miten muuten tuo proxy yleensäkään parantaa turvallisuutta? Siinähän on
vain yksi häkättävissä oleva palikka lisää.

--
Pikaliima on pysyvää

[Tapio Väättänen]

Voi se sillä tavalla lisätä, että tietoturva on tällöin ulkoistettu
globaalille toimijalle, jolle se on osa ydinliiketoimintaa.

Tietty CDN lienee Ylelle se pääasiallinen syy proxyn käyttöön.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Relational people do it on tables!" -- Timon kommentti tietoviikon
artikkeliin "Miksi tietokanta ei ole enää seksikäs?"

[Ari Saastamoinen]

Martti Mäkelä <mart...@yahoo.com> writes:

> Miten muuten tuo proxy yleensäkään parantaa turvallisuutta? Siinähän
> on vain yksi häkättävissä oleva palikka lisää.

No YLE (ja suurin osa muistakin noita käyttävistä) ainakin käyttää
tuota distribuutuoverkkoa lähinnä siksi, että toi parantaa
saatavuutta, kun eri käyttäjiä ohjataan eri proxylle siten, että se
proxy olisi verkkotopologisesti mahdollisimman lähellä käyttäjää, sekä
siksi että mahdolliset DDoS:it toivottavasti suntautuisivat tuon
proxyoperaattorin verkkoon eikä YLElle.

[Pertti Kosunen]

On 29.12.2016 20:57, Ari Saastamoinen wrote:
> No YLE (ja suurin osa muistakin noita käyttävistä) ainakin käyttää
> tuota distribuutuoverkkoa lähinnä siksi, että toi parantaa
> saatavuutta, kun eri käyttäjiä ohjataan eri proxylle siten, että se
> proxy olisi verkkotopologisesti mahdollisimman lähellä käyttäjää, sekä
> siksi että mahdolliset DDoS:it toivottavasti suntautuisivat tuon
> proxyoperaattorin verkkoon eikä YLElle.

YLEn omilla servereillä ei ole kapasiteettia palvella koko Suomea,
Akamai tai vastaavaa on halvin ratkaisu tarjota riittävästi kaistaa
kaikille.

[Reijo Korhonen]

Jos kuitenkin palataan ketjun näkökulmaan tämä samalla rajaa sen tahon,
joka voi aiheuttaa tietoturvaongelmia ja se taho on ne ihmiset, jotka
Akamain serveriä ja tarkewmin ottaen YLEm palvelua hallinnoivat. Näin
riski TV:n Areenasovellusta - joka siis ottaa yhteyden pelköästään
Akamain serveriin ei koskaan mihinkään muuhun serveriin - puolityhmässä
TV:ssä käyttävällä rajoittuu siihen, että Akamailla on roisto. Tämä riski
on tietenkin häviävän pieni verrattuna tilanteeseen, jossa laitteistosi
ja ohjelmistosi ottaa yhteyttä mihin ja minne tahansa eli on se
"haavoittuva kokoviisas TV". Haavoittuvuusasioissa siis oleellista riskin
arvioinnissa on se, kellä on mahdollista aiheuttaa riskin toteutuminen.
Tilanne on tietenkin sitä parempi mitä pienempi tuo joukko on ja sitä
huonompi, mitä suurempi tuo joukko on.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Fri, 30 Dec 2016 11:09:36 +0200, Pertti Kosunen wrote:

Toinen ja varmasti merkittävämpi syy on toiminnallinen. Tuolleiseen
palveluun sisältyy paljon toiminnallisuutta joka ei ehkä näy tavaliselle
käyttäjälle mutta siellä se toiminnallisuus vain on. Esimerkiksi
saantioikeudet. YLEn jakama materiaali sisältää immateraaliset oikeudet
eli sitä saa jakaa ostettujan oikeuksien mukaan vain jallisestri ja
maantieteellisesti rajatuin oikeuksin.

Kolmas osaouoli, joka on toteuttanut tälläisen toimnnallisuuden jo
aiemmin monelle muullekin osaouolelle kuin YLElle toteuttaa tälläisen
toiminnallisuuden taatusti helvemmalla kuin YLR joka joutuisi ostamaan
toteutuksen kuitenkin joltakin muulta toimijalta omille serbereilleen
joita taasen se joutuisi ostamaan ylläpidon joltakin muulta osasuolelta
eli tarkemmin kuviota katsoen jokainen reitti vie tähän ulkopuolisen
toimijan toteuttamaan toiminnallisuuteen jonka YLE ostaa joltakin
osapuolelta.

Samalla toteutetaan myös se IoT-tietoturva ainakin niihin laitteisiin,
jotka osaavat rajoittaa yhteydenottonsa vain niille servereille, joita
YLEn Areena -sovellus tuolla laitteella vaatii.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Akamain serveriä ja tarkewmin ottaen YLEm palvelua hallinnoivat. Näin

> riski TV:n Areenasovellusta - joka siis ottaa yhteyden pelköästään

> Akamain serveriin ei koskaan mihinkään muuhun serveriin - puolityhmässä
> TV:ssä käyttävällä rajoittuu siihen, että Akamailla on roisto.

Olet oikeassa siinä, että toi sovelluksen rajoittuneisuus vähentää
merkittävästi hyökkäysmahdollisuuksia, mutta ei poista niitä kokonaan.

Tääläkin on jo ainakin kahdesti dns-poisoning / dns-injektio (sama
asia) yhtenä mahdollisuutena ohjata liikenne väärään paikkaan. Ja
koska tuo liikenne ohjautuu porttiin 443, niin pitäisin
todennäköisenä, että siinä on SSL käytössä, todennäköisesti openssl
tai gnutls, ja noista on löytynyt eploitattavia virheitä. Melko
isolla todennäköisyydellä toi sovellus käyttää gstreamer-kirjastoa
videon näyttämiseen, ja siinäkin on ollut virheitä. Ja on siinä
telkkarissa paljon muutakin softaa ajossa.

[Tapio Väättänen]

CDN ei kylläkään toimi noin. Ei ole yhtä serveriä. Koko idea on hajauttaa
maantieteellisesti ne palvelimet siten, että kuluttaja saa sisällön
mahdollisimman tehokkaasti.

Minulla ei sinällään ole tähän keskusteluun sen enempää lisättävää. Oma
kantani on, että "tyhmä"-TV on haavoittuva, ja siinä on riskinsä vaikkakin
ne ovat rajatut.

Turvalliseksi en sitä missään nimessä laskisi juurikin siksi, että
päivitysten suhteen on täysin valmistajan armoilla.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"You cannot be too rich, too thin, or commit too often." -- Mark A.

[Jouko Holopainen]

On 29.12.2016 13:41, Reijo Korhonen wrote:
> Saattaa olla näin, mutta pointti om se että puolityhmä TV ei koskaan ota
> yhteyttä suoraan mihinkään nettiosoitteeseen,

Aivan varmasti ottaa.

> vaan käyttää TV-valmistajan
> välityspalvelinta ja se protikollat ovat suljettuja ja turvallisia.

Ei tasan tarkkaan ole turvallisia.

> TV-
> vamistajan välityspalvelinta tietenkin pitää päivittää kun
> tietorurvareikiä ilmenee, mutta päisitettäviä kohteita on yksi eikä koko
> maailman puolityhmät TV:t.

Kuvitelma, ettei siinä puolityhmässä TV:ssä ole esim. SSL-bugeja on
melkoisen ihmeellinen.

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 29.12.2016 20:54, Tapio Väättänen wrote:
> Voi se sillä tavalla lisätä, että tietoturva on tällöin ulkoistettu
> globaalille toimijalle, jolle se on osa ydinliiketoimintaa.

Ainoat tahot, joille tietoturva on osa ydinliiketoimintaa on
valtiolliset vakoilujärjestöt.

Vakavammin, ei tuo päde Googlen, Applen, Microsoftin, Netflixin, jne.
kohdalla, eikä TV valmistajien, eikä pilvipalvelutuottajien, eikä ...

Ne yritykset joille tietoturva on osa ydinliiketoimintaa ovat todella
harvassa. Ei tule mieleen yhtään nimeä.

> Tietty CDN lienee Ylelle se pääasiallinen syy proxyn käyttöön.
>


--

@jhol

www.iki.fi/jhol

[Jouko Holopainen]

On 30.12.2016 12:59, Reijo Korhonen wrote:
> Jos kuitenkin palataan ketjun näkökulmaan tämä samalla rajaa sen tahon,
> joka voi aiheuttaa tietoturvaongelmia ja se taho on ne ihmiset, jotka
> Akamain serveriä ja tarkewmin ottaen YLEm palvelua hallinnoivat. Näin
> riski TV:n Areenasovellusta - joka siis ottaa yhteyden pelköästään
> Akamain serveriin ei koskaan mihinkään muuhun serveriin - puolityhmässä
> TV:ssä käyttävällä rajoittuu siihen, että Akamailla on roisto. Tämä riski
> on tietenkin häviävän pieni verrattuna tilanteeseen, jossa laitteistosi
> ja ohjelmistosi ottaa yhteyttä mihin ja minne tahansa eli on se
> "haavoittuva kokoviisas TV". Haavoittuvuusasioissa siis oleellista riskin
> arvioinnissa on se, kellä on mahdollista aiheuttaa riskin toteutuminen.
> Tilanne on tietenkin sitä parempi mitä pienempi tuo joukko on ja sitä
> huonompi, mitä suurempi tuo joukko on.

Unohdat mainokset (ja trailerit jne). Usein mainokset tulevat joltain
mainoksia tuottavalta taholta. Mainoksia on siksi käytännössä mahdotonta
tarkistaa edeltäkäsin, ja kun mediasoittimessa (siellä TV:n sisällä) on
bugi, niin on mahdollista tuottaa mainos joka korkkaa TVsi. Näin toki
käy vaikka mainos/traileri olisi Akamailla. Näin myös käy jos leffa on
(tahallisesti) rikki. Näin myös voi käydä jos mediasoitin käyttää jotain
kirjastoa (kuten SSL) ja siinä kirjastossa on bugi. Ja väitettä, ettei
mediasoittimessa tai sen käyttämissä kirjastoissa ole "loputtomasti"
bugeja, en tietenkään usko.

--
@jhol

www.iki.fi/jhol

[Tapio Väättänen]

On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
> On 29.12.2016 20:54, Tapio Väättänen wrote:
>> Voi se sillä tavalla lisätä, että tietoturva on tällöin ulkoistettu
>> globaalille toimijalle, jolle se on osa ydinliiketoimintaa.
>
> Ainoat tahot, joille tietoturva on osa ydinliiketoimintaa on
> valtiolliset vakoilujärjestöt.

Tarkoitin nyt lähinnä sanoa, että YLE ei osaisi hoitaa hommaa läheskään niin
hyvin, kuin joku tunnustettu globaali toimija. En väitä että Akamai osaa,
mutta ainakin se on osa heidän liiketoimintaansa, toisin kuin YLEn.

Oletko oikeasti erimieltä?

--
sip:t...@tav.iki.fi http://tav.iki.fi

"pico?!? What kind of person uses pico?" -- Hackles at November 28 ,2001
http://hackles.org/cgi-bin/archives.pl?request=93

[Tapio Väättänen]

On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:

Tähän vielä lisään sen, että näillä kräkkereillä on kyllä rahaa maksaa
niiden mainosten levittämiseen. Siitä se ei ole kiinni. Se on
miljardiluokan-business.

Minusta kuvitelma että puolityhmä tai puolijäykkä, mitä termiä tässä nyt
halutaankaan käyttää, TV olsi jotenkin turvallinen, on typerä. Vähän
samanlainen kuvitelma kuin kuvitella, että kukaan ei klikkaisi spammeja. No
joku niitä selkeästikin klikkaa. Niin paljon, että ilman filtteröintiä
postilaatikosta taitaisi 99.999% olla pelkkää spammiä.


En usko että puolilöysä-TV on vaaraton. Kyllä siihen joku tauti iskee!

Toisaalta, mulla on Fedora 4 reitittimenä ilman päivityksiä ja OpenBSD 4.0
ilman päivityksiä verkossa. Well, I guess crackers are idiots.

--
sip:t...@tav.iki.fi http://tav.iki.fi

[Jouko Holopainen]

On 31.12.2016 07:18, Tapio Väättänen wrote:
> On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
>> On 29.12.2016 20:54, Tapio Väättänen wrote:
>>> Voi se sillä tavalla lisätä, että tietoturva on tällöin ulkoistettu
>>> globaalille toimijalle, jolle se on osa ydinliiketoimintaa.
>>
>> Ainoat tahot, joille tietoturva on osa ydinliiketoimintaa on
>> valtiolliset vakoilujärjestöt.
>
> Tarkoitin nyt lähinnä sanoa, että YLE ei osaisi hoitaa hommaa läheskään niin
> hyvin, kuin joku tunnustettu globaali toimija. En väitä että Akamai osaa,
> mutta ainakin se on osa heidän liiketoimintaansa, toisin kuin YLEn.

Onko muka osa liiketoimintaa? Miksei se näy toimintatavoissa? Miksei se
olisi ihan yhtä paljon, ellei enemmän, Ylen liiketoimintaa?

> Oletko oikeasti erimieltä?

Jaa-a. Yahoo hukkas miljardin asiakkaaan nimet, salasanat,
puhelinnumerot ja epäilen että meni luottokorttitietojakin (vaikkei
myönnä). Varkaudet tapahtui useassa eri hyökkäyksessä vuosien varrella.

Lähes jokainen sosiaalisen median firma on häkätty ties kuinka monta
kertaa muutaman viime vudeon aikana.

http://www.nytimes.com/interactive/2015/07/29/technology/personaltech/what-parts-of-your-information-have-been-exposed-to-hackers-quiz.html

Miten ihmeessä Yle "osaisi hoitaa hommat" huonommin?

--
@jhol

www.iki.fi/jhol

[Jouko Holopainen]

Just tuli CERTiltä tällanen:
http://legalhackers.com/advisories/ZendFramework-Exploit-ZendMail-Remote-Code-Exec-CVE-2016-10034-Vuln.html

Eli jos Areena (tms) käyttää leffojen valinnan näyttämiseen (==
nettiinsä) Zendiä¹, niin rikolliset saavat laitettua Arenaan ihan mitä
ikinä sattuu huvittamaan.

Eiköhän nyt kaikki jo usko, että olipa Ylen Arena millä alustalla
tahansa, niin siitä alustasta tullaan löytämään bugeja ikuisesti (lue:
uusia tehdään nopeammin kuin vanhoja korjataan).

> Toisaalta, mulla on Fedora 4 reitittimenä ilman päivityksiä ja OpenBSD 4.0
> ilman päivityksiä verkossa. Well, I guess crackers are idiots.

¹ Vika lienee zend-mailissa, että ehkä "vain" spostisysteemi² on paskana
² Sama bugi ollut PHPMailerissa ja SwiftMailerissa, näämmä.

--
@jhol

www.iki.fi/jhol

[T.K]

"Reijo Korhonen" <reijo.k...@invalid.invalid> kirjoitti viestissä
news:o3pgna$fmt$3...@dont-email.me...
> On Fri, 23 Dec 2016 13:50:39 +0200, Juhani Varemo wrote:
>
> > Martti Mäkelä wrote:
> >
> >> Televisio on muuttunut internet-päätteeksi jo ajat sitten. Vai väitätkö
> >> että joku muka edelleen katsoisi antennin tai kaapelin kautta tulevaa
> >> ohjelmaa?
> >> Ja muita kuin "älytelevisioita" ei taida enää olla edes myynnissä.
> >
> >
> >
> > Minä ainakin olen sellainen 'joku' :-)
>
> Minäkin. Kuten lähes kaikki. Ihminen joka katsoo vain netin kautta TV:tä
> on varsin harvinainen friikki.
>
>
> --
> Re...@iki.fi.nospam.invalid
> http://www.iki.fi/Reijo
>

Minä myös.
No, olen minä joskus netistä yle-areenaa tms katsonut, noin niinkuin
kokeeksi, ehkä jonkun 1/2 tuntia yhteensä tähän päivään mennessä.

[Tapio Väättänen]

On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
> On 31.12.2016 07:18, Tapio Väättänen wrote:
>> On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
>>> On 29.12.2016 20:54, Tapio Väättänen wrote:
>>>> Voi se sillä tavalla lisätä, että tietoturva on tällöin ulkoistettu
>>>> globaalille toimijalle, jolle se on osa ydinliiketoimintaa.
>>>
>>> Ainoat tahot, joille tietoturva on osa ydinliiketoimintaa on
>>> valtiolliset vakoilujärjestöt.
>>
>> Tarkoitin nyt lähinnä sanoa, että YLE ei osaisi hoitaa hommaa läheskään niin
>> hyvin, kuin joku tunnustettu globaali toimija. En väitä että Akamai osaa,
>> mutta ainakin se on osa heidän liiketoimintaansa, toisin kuin YLEn.
>
> Onko muka osa liiketoimintaa? Miksei se näy toimintatavoissa? Miksei se
> olisi ihan yhtä paljon, ellei enemmän, Ylen liiketoimintaa?

Kyllä tietoturva on kiinteä osa CDN-tarjoajan toimintaa.

Miten se ei näy toimintatavoissa?

>> Oletko oikeasti erimieltä?
>
> Jaa-a. Yahoo hukkas miljardin asiakkaaan nimet, salasanat,
> puhelinnumerot ja epäilen että meni luottokorttitietojakin (vaikkei
> myönnä). Varkaudet tapahtui useassa eri hyökkäyksessä vuosien varrella.
>
> Lähes jokainen sosiaalisen median firma on häkätty ties kuinka monta
> kertaa muutaman viime vudeon aikana.
>

> http://www.nytimes.com/interactive/2015/07/29/technology/\
personaltech/what-parts-of-your-information-have-been-exposed\

-to-hackers-quiz.html

> Miten ihmeessä Yle "osaisi hoitaa hommat" huonommin?

Mitä tekemistä sosiaalisella medialla ja Akamailla on keskenään?

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum

[Jouko Holopainen]

On 31.12.2016 20:44, Tapio Väättänen wrote:
> On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
>> Onko muka osa liiketoimintaa? Miksei se näy toimintatavoissa? Miksei se
>> olisi ihan yhtä paljon, ellei enemmän, Ylen liiketoimintaa?
>
> Kyllä tietoturva on kiinteä osa CDN-tarjoajan toimintaa.

Miksei se olisi *ihan yhtä paljon* kiinteä osa Ylen toimintaa?

> Miten se ei näy toimintatavoissa?

Esimerkiksi siten, että jatkuvasti löytyy salasanoja puhtaana (eli ei
ole salted+hashed).

>>> Oletko oikeasti erimieltä?
>>
>> Jaa-a. Yahoo hukkas miljardin asiakkaaan nimet, salasanat,
>> puhelinnumerot ja epäilen että meni luottokorttitietojakin (vaikkei
>> myönnä). Varkaudet tapahtui useassa eri hyökkäyksessä vuosien varrella.
>>
>> Lähes jokainen sosiaalisen median firma on häkätty ties kuinka monta
>> kertaa muutaman viime vudeon aikana.
>>
>> http://www.nytimes.com/interactive/2015/07/29/technology/\
> personaltech/what-parts-of-your-information-have-been-exposed\
> -to-hackers-quiz.html
>
>> Miten ihmeessä Yle "osaisi hoitaa hommat" huonommin?
>
> Mitä tekemistä sosiaalisella medialla ja Akamailla on keskenään?

Miten Yahoo oleellisesti eroaa Akamaista? Palveluntarjoajia molemmat.
Veikkaisin, että suurempi PR tappio Yahoolle tuo oli kuin olisi
Akamaille, joten eiköhän metronomit laskinta hakaten päädy "who gives a
shit of this expensive 'security', it doesn't bring any money".

--
@jhol

www.iki.fi/jhol

[Ari Saastamoinen]

Jouko Holopainen <jh...@iki.invalid.fi> writes:

> Miten Yahoo oleellisesti eroaa Akamaista? Palveluntarjoajia
> molemmat.

Palveluntarjoajia, mutta erilaisen palvelun.

Yahoo on sisällön tuottaja, sillä on hakuhärveli, tarjoaa
pörssikursseja yms.

Akamai taas tuottaa infrastruktuuria, jolla jaetaan muiden sisältöä.
Siis yksinkertaistettuna yhteyksiä. Esim. Yahoon sisältö voitaisiin
jakaa maailmalle Akamin palvelimilla (mutta Akamain liiketoimintaa ei
voisi tuottaa Yahoon palvelimilla - toki yahookin on sen verran suuri,
että on niiden omakin netti-infra melko pystyvä ja aika pitkälle
silläkin luultavasti pääsisi)

Akamai ei vastaa noista asiakkaiden sisällöistä, ei heidän
käyttäjätietokannoista yms. Se on vain tekninen välittäjä.

Ja esim. tässä muutama kuukausi sitten kun uutisoitiin, että oli
historian toistaiseksi suurin DDoS-hyökkäys jotain webbisaittia
vastaan. Niin se kohdepalvelu oli Akamailla, ja ne pystyivät
hanskaamaan sen - tosin se saitti oli ilmeisesti jotenkin sponsoroitu
tms, niin tuon hyökkäyksen jälkeen totesivat, että tuon torjunta oli
liian kallista sen saitin tuottoon nähden, ja irtisanoivat sopimuksen.
Jonka jälkeen toi saitti sai sitten Googlesta sponsorin - saa nähdä
kuinka Google sen saa hanskattua, jos tuo joutuu kohteeksi uudestaan.

[Tapio Väättänen]

On 2017-01-01, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
> On 31.12.2016 20:44, Tapio Väättänen wrote:
>> On 2016-12-31, Jouko Holopainen <jh...@iki.invalid.fi> wrote:
>>> Onko muka osa liiketoimintaa? Miksei se näy toimintatavoissa? Miksei se
>>> olisi ihan yhtä paljon, ellei enemmän, Ylen liiketoimintaa?
>>
>> Kyllä tietoturva on kiinteä osa CDN-tarjoajan toimintaa.
>
> Miksei se olisi *ihan yhtä paljon* kiinteä osa Ylen toimintaa?

Koska YLE on suhteellisen pieni toimija, ei välttämättä ole kovin
tarkoituksenmukaista panostaa resursseja varinaisen sisällöntuotannon
ulkopuolelle, mikäli siitä kärsii itse sisällöntuottaminen.

>> Miten se ei näy toimintatavoissa?
>
> Esimerkiksi siten, että jatkuvasti löytyy salasanoja puhtaana (eli ei
> ole salted+hashed).

Akamailla?

>>>> Oletko oikeasti erimieltä?
>>>
>>> Jaa-a. Yahoo hukkas miljardin asiakkaaan nimet, salasanat,
>>> puhelinnumerot ja epäilen että meni luottokorttitietojakin (vaikkei
>>> myönnä). Varkaudet tapahtui useassa eri hyökkäyksessä vuosien varrella.
>>>
>>> Lähes jokainen sosiaalisen median firma on häkätty ties kuinka monta
>>> kertaa muutaman viime vudeon aikana.
>>>
>>> http://www.nytimes.com/interactive/2015/07/29/technology/\
>> personaltech/what-parts-of-your-information-have-been-exposed\
>> -to-hackers-quiz.html
>>
>>> Miten ihmeessä Yle "osaisi hoitaa hommat" huonommin?
>>
>> Mitä tekemistä sosiaalisella medialla ja Akamailla on keskenään?
>
> Miten Yahoo oleellisesti eroaa Akamaista? Palveluntarjoajia molemmat.

Np eroaa aivan valtavasti. Akamai on keskittynyt CDN:iin ja
pilivpalveluihin. Sitä en tiedä miihin Yahoo on keskittynyt.

> Veikkaisin, että suurempi PR tappio Yahoolle tuo oli kuin olisi
> Akamaille, joten eiköhän metronomit laskinta hakaten päädy "who gives a
> shit of this expensive 'security', it doesn't bring any money".

Ehkä minulta on jäänyt joku deltaji Yahoon tietomurrosta lukematta, koska en
ole osannut yhditää Akamaita siihen. Piakaisella googleauksellaan en
yhteyttä löytynyt, mikä ei tietenkään todista vielä sinänsä mitään.

--
sip:t...@tav.iki.fi http://tav.iki.fi

[Tapio Väättänen]

On 2017-01-01, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Jouko Holopainen <jh...@iki.invalid.fi> writes:
>
>> Miten Yahoo oleellisesti eroaa Akamaista? Palveluntarjoajia
>> molemmat.
>
> Palveluntarjoajia, mutta erilaisen palvelun.
>
> Yahoo on sisällön tuottaja, sillä on hakuhärveli, tarjoaa
> pörssikursseja yms.
>
> Akamai taas tuottaa infrastruktuuria, jolla jaetaan muiden sisältöä.
> Siis yksinkertaistettuna yhteyksiä. Esim. Yahoon sisältö voitaisiin
> jakaa maailmalle Akamin palvelimilla (mutta Akamain liiketoimintaa ei
> voisi tuottaa Yahoon palvelimilla - toki yahookin on sen verran suuri,
> että on niiden omakin netti-infra melko pystyvä ja aika pitkälle
> silläkin luultavasti pääsisi)
>
> Akamai ei vastaa noista asiakkaiden sisällöistä, ei heidän
> käyttäjätietokannoista yms. Se on vain tekninen välittäjä.

Kyllä kai Akamailta voi ostaa myös käyttäjätietokantojen ja autentikoinnin
hallinan. Tällöinkin ulkoistajan etuna on nimenomaan se, että he voivat
ostaa palvelun taholta, jonka ydinliiketoimintaa ko. toiminnot ovat, sen
sijaan, että keksisivät pyörän uudelleen huomattavasti vajaammilla
resursseilla.

Vastaavasti, mm. Amazon tarjoaa vastaavia palveluja. Tietoturvan osalta mm.
USA:n julkinen hallinto luottaa Amazonin tietotaitoon.

https://aws.amazon.com/federal/

Ei tässä nyt sinällään mitään uutta ole. Suutari pysyköön lestissään.

--
sip:t...@tav.iki.fi http://tav.iki.fi

[Reijo Korhonen]

On Thu, 29 Dec 2016 14:03:45 +0200, Ari Saastamoinen wrote:

> Kuten edellisessä viestissäni todistin bluureisoittimessa olevan
> areenasovelluksen juttelevan ihan suoraan Akamain palvelimelle
> HTTPS-porttiin - kulkematta minkään proxyn läpi. (Tokikaan
> bluray-soitin ei ole televisio, mutta en osaa nähdä, miksi televisiot
> toimisivat tuossa suhteessa jotenkin eri tavalla)

Sotiessa saattaa olla unohunut tarkistaa YLen Sivuilta, kuinka Yle
Areenan sovellukset toimivat TV-laitteilla, joiksi kyseiset soittimetkin
voi lukea, <http://yle.fi/aihe/artikkeli/2015/10/22/tv-laitteet-ja-
palvelut-joilla-voin-kayttaa-yle-areenaa>

En viitsi kopioida tektiä tähän, mutta pääperiaate on Ylen kaikilla
tukemilla laitteilla sama, sovelluksissa ei pääse antamaan mitään
asetuksia, vaan sovellus toimii kuten se toimii, ottaen yhteyttä
servereille joille se ottaa, jolloin mahdollinen hyökköys omalle
laitteelle ei voi tulla mistään muualta kuin noilta servereiltä, joten
tietoturvarikkomuksiin kykenevien joukkokin on saatu rajoitetttumaan
niihin ihmisiin, jotka noita servereitä pääsevät hallinnoimaan.

Itselläni muuten TV:n tietoturva parani tämän suhteen ihan yhtä hyväksi
kuin tietoliikennejohdon katkaisemisella eli täydelliseksi, sillä YLE
lakkasi ylläpitämästä TV:ssäni olevaa Areenasovellusta 30.6.2016 joten
sillä ei enää katsella Areenaa. 2013 jälkeen julkaistut televisiomallit
ovat siis enää haavoittuvia, mutta minunpa ei enää ole, että häh hää vaan
uuden telkkariin omistajille, pitäkää haavoittuvat tunkkinne (itse olen
erittäin tyytybäinern viestini sävyyn, eikös ole erinomaista sotimista? ;-
))


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Sotiessa saattaa olla unohunut tarkistaa YLen Sivuilta, kuinka Yle
> Areenan sovellukset toimivat TV-laitteilla, joiksi kyseiset soittimetkin
> voi lukea, <http://yle.fi/aihe/artikkeli/2015/10/22/tv-laitteet-ja-
> palvelut-joilla-voin-kayttaa-yle-areenaa>

Mitäs uutta tuon linkin katsominen toi tähän keskusteluun? Me kaikki
tiesimme, että monille laitteille on erillisiä Areenasovelluksia ja
tuolla vain listattiin laitteita, joille moisia on.

[Reijo Korhonen]

On Sun, 01 Jan 2017 23:05:13 +0200, Ari Saastamoinen wrote:

> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> Sotiessa saattaa olla unohunut tarkistaa YLen Sivuilta, kuinka Yle
>> Areenan sovellukset toimivat TV-laitteilla, joiksi kyseiset
>> soittimetkin voi lukea,
>> <http://yle.fi/aihe/artikkeli/2015/10/22/tv-laitteet-ja-
>> palvelut-joilla-voin-kayttaa-yle-areenaa>
>
> Mitäs uutta tuon linkin katsominen toi tähän keskusteluun? Me kaikki
> tiesimme, että monille laitteille on erillisiä Areenasovelluksia ja
> tuolla vain listattiin laitteita, joille moisia on.

Jotenkin minulle jäi sellainen käsitys, että ainakin joillakin oli
sellainen käsitys, että YLEn Areenasovellus TV:ssä avaisi TV:n
hyökkäyksille mistä tahansa netistä ja epäiltiin esimerkiksi SSL, HTTS,
DNS yms. reikien uhkavan TV:tään tai TV:n kautta kotiverkkoaan. Uhkassa
on kuitenkin monenlaisia ulottuvuuksia kuten riskin suutuus ja riskin
todennäköisyys ja nimen omaan riskin todennäköisyys on varsin pieni tässä
tapauksessa jos riskin toteuttajan eli vihulaisen pitää sijaita tietyn
palvelimen hallinoinnin piirissä. Tuntui että keskustelussa unohtui
suhteuttaa näitä asioita, ymmärtää sitä mikä noissa on iso ja mikä pieni.

Mutta kuten itse edellisessä viestissäni sanoin, asiahan ei minua koske
enää ollenkaan, olen täysin turvassa kun YLEn Areenasovellus ei TV:ssäni
enää toimi ollenkaan, joten pitäkää tunkkinne ja tietotuvanne. Minulla
tietoturva on 100%:sti turvassa tältä osin.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> tapauksessa jos riskin toteuttajan eli vihulaisen pitää sijaita tietyn
> palvelimen hallinoinnin piirissä. Tuntui että keskustelussa unohtui
> suhteuttaa näitä asioita, ymmärtää sitä mikä noissa on iso ja mikä pieni.

Tessä keskusteluketjussa on ainakin pariin otteeseen, kerrottu ainakin
yksi tapa, jolla ei tarvi päästä hallitsemaan tuota Akamain
palvelinta. Ja luultavasti niitä on lisääkin, joten ei tuollainen
valmis sovellus ole täysin varma ratkaisu vaikka sitä sellaisena
pidät. (Ja onhan erinäköisiin aparaatteihin vuosien saatossa
onnistuttu ihan jo valmistusvaiheessa ujuttamaan jotain takaovia)

(Mutta on tuollainen valmis sen verran pieniriskinen tuote, että itse
ainakin uskaltaisin sitä käyttää ainakin siihen saakka, että jostain
ilmoitettaisiin siinä olevan bugi.)

[Reijo Korhonen]

On Sun, 01 Jan 2017 19:30:06 +0000, Reijo Korhonen wrote:

> Itselläni muuten TV:n tietoturva parani tämän suhteen ihan yhtä hyväksi
> kuin tietoliikennejohdon katkaisemisella eli täydelliseksi, sillä YLE
> lakkasi ylläpitämästä TV:ssäni olevaa Areenasovellusta 30.6.2016 joten
> sillä ei enää katsella Areenaa. 2013 jälkeen julkaistut televisiomallit
> ovat siis enää haavoittuvia, mutta minunpa ei enää ole, että häh hää
> vaan uuden telkkariin omistajille, pitäkää haavoittuvat tunkkinne (itse
> olen erittäin tyytybäinern viestini sävyyn, eikös ole erinomaista
> sotimista? ;-) )

Helpoin ja edullusin tapa altistaa itseni taas tietoturvaongelmille TV:n
kautta näkyvän YLE Areena -sovelluksen kautta lienee Cromecast, joka
maksaa nelisenkemppiä. Ei tatvitse vaihtaa hyvin toimivaa TV:tä jos
hakuaa siihen nettotoiminnot takaisin.

Cromecast tökätään TV:n HDMI-liitäntään. TV:n sisään se ei siis pääse
verkkoyhteydellä, mutta tarvitsee itse WLAN-yhteyden ja ohjaukseen jonkin
laitteen, kun siinä ei ole napin nappia. Ja kun se tarvitsee jonkin
laitteen ohjaimekseen kuten puhelimen tai tietokoneen, niin siitä voi
päätellä, että kyllä se ui kotiverkkoon. Jolloin sen kräkkäämällä
vihulainenkin voisi uida kotiverkkoon. Mutta tuohon saa niitä monen
postaajan toivomia tietoturvapäivityksiä. Ja pakkoko sillä on muuta kuin
YLEn Areenaa katsella jos pelkää kräkkäystä muista lähteistä. Nimittäin
YLEn Areena -sovellus ei käy muualla kuin sillä serverillä josta YLEn
Areenan ohjelmat tulevat.

Tosin riskiä arvioiden Cromecastissa se on samaa luokkaa kuin jos omalla
tietokoneellaa seikkailee netissä ja esim. Youtuubissa. Molemmissa
tietenkin kannattaa pitää tietoturvapäivitykset kunnossa. TV:n
tietoturvapoäivityksistä se sijaan ei tarvitse huolehtia. Voi vaikka
irrottaa TV:n tietokonejohdon, sillä mitä se sillä enää tekee. Minulla ei
edes hae päivityksiä ohjelmistoonsa kun niitä ei tule. Muiksi edes
tulisi, sillä TV toimii niin hyvin kuin voi toimia eli vikoja ei ole.
Paitsi mitä nyt verkkotoiminnot ovat aika käyhiä kun YLÖEm Areenakin
lakkasi viime kesänä. Mutta ne saisi Cromecastilla takaisin. Niiden
ohjaus ei tosin toimi TV:n kapulalla, mutta se ei liene iso miinus, sillä
TVF:n kapula on varsin kömpelö laite nettitoimintojen ohjauskseen ja
esim. puhelimen sovelluksella se hoituu varmasti paljon sijuvammin.
Puhelin onkin nykyajan yleisohjain.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Martti Mäkelä]

On 01/02/2017 04:28 AM, Ari Saastamoinen wrote:
> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> tapauksessa jos riskin toteuttajan eli vihulaisen pitää sijaita tietyn
>> palvelimen hallinoinnin piirissä. Tuntui että keskustelussa unohtui
>> suhteuttaa näitä asioita, ymmärtää sitä mikä noissa on iso ja mikä pieni.
>
> Tessä keskusteluketjussa on ainakin pariin otteeseen, kerrottu ainakin
> yksi tapa, jolla ei tarvi päästä hallitsemaan tuota Akamain
> palvelinta. Ja luultavasti niitä on lisääkin, joten ei tuollainen
> valmis sovellus ole täysin varma ratkaisu vaikka sitä sellaisena
> pidät. (Ja onhan erinäköisiin aparaatteihin vuosien saatossa
> onnistuttu ihan jo valmistusvaiheessa ujuttamaan jotain takaovia)
>
> (Mutta on tuollainen valmis sen verran pieniriskinen tuote, että itse
> ainakin uskaltaisin sitä käyttää ainakin siihen saakka, että jostain
> ilmoitettaisiin siinä olevan bugi.)
>

Miksei uskaltaisi? Itse uskallan käyttää "oikeaa" älytelevisiota jolla
saa yhteyden ihan mihin tahansa. Jossa on tv-valmistajan sovittama
varmasti muutaman vuoden takainen linux, päivityksiä tulee mikäli
valmistajaa sattuu nappaamaan.
Nimittäin entäs sitten jos joku "häkkää" sen.
Jos minulla joskus on sisällä olevia kameroita tai mikrofoneja netissä,
niiden tietoturvasta kannattaa huolehtia.

--
Pikaliima on pysyvää

[Reijo Korhonen]

On Mon, 02 Jan 2017 04:28:36 +0200, Ari Saastamoinen wrote:

> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> tapauksessa jos riskin toteuttajan eli vihulaisen pitää sijaita tietyn
>> palvelimen hallinoinnin piirissä. Tuntui että keskustelussa unohtui
>> suhteuttaa näitä asioita, ymmärtää sitä mikä noissa on iso ja mikä
>> pieni.
>
> Tessä keskusteluketjussa on ainakin pariin otteeseen, kerrottu ainakin
> yksi tapa, jolla ei tarvi päästä hallitsemaan tuota Akamain palvelinta.

Josta et taida tietää paljon koska et kerro paljon, et arvioi riskin
suuruutta etkä riskin todennäköisyyttä etjö osaa kertoa mitä
verkkosijaintia tuon tuosn riskin totreuittajien pitää päästä
hallinnoimaan.

Keskutelua vaivaa siis lainaamassasi minun viestissöäni mainittu asia,
unohtaa artvioida se, mikä on iso ja mikä pieni (riski ja todennäköisyys).

> Ja luultavasti niitä on lisääkin, joten ei tuollainen valmis sovellus
> ole täysin varma ratkaisu vaikka sitä sellaisena pidät.

Kovin vähän osaat kuitenkin kertoa riskeistä joita siihen liittyy. Ja
kummalisia sanontaja laitatr suuhuni kun sanot minun pitävän jotakin
sovellusta täysin turvallisena kaikissa oloissa. Otin kantaa riskin
arvioimiseen, ja tätä asiaa en näe viesteissä, vaan pelkkää arvailua,
jopa minun viestieni suhteen vaikka ne on luettavissa kunhan lukee
tämänkin ketjun alusta loppuun.

Sovellukset on kuitenkin tehty käytettäviksi ja YLE todellakin mainostaa
näitä sopvelluksia kaikille asikkailleen. Kuluittaja saa tietenkin itse
valita haluaako hän tuollaista sovellusta käyttää ja aika moni näyttää
käyttävän. Jos ei käyttäisi, YLE käyttäisi rahansa rahansa johonkin
muuhun.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Tue, 03 Jan 2017 19:57:33 +0200, Martti Mäkelä wrote:

> Jos minulla joskus on sisällä olevia kameroita tai mikrofoneja netissä,
> niiden tietoturvasta kannattaa huolehtia.

Ainakin sen verran että vaihtaa oletussalasanat ja käyttäjätunnukset
joksikin muuksi. Nimittäin noita häkättiin vasta iso joukko juuri sen
takia, että niissöä oli manuaalissa kerrottu käyttäjätunnus ja salasana
eli kuka tahansa pääsi sisään.

Kun tämä on pääongelma, niin tietoturvapäivitykset ovat mittasuhteiltaan
kuin hyttysen pissa valtamaressä. Niin pieni asia että ei näy, tuunu tai
maistu eikä tarvitsekaan. Vai maistaako joku teistä hyttysen pissan
valtameressä? ;-)



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Ainakin sen verran että vaihtaa oletussalasanat ja käyttäjätunnukset
> joksikin muuksi. Nimittäin noita häkättiin vasta iso joukko juuri sen

> takia, että niissƶä oli manuaalissa kerrottu käyttäjätunnus ja salasana

> eli kuka tahansa pääsi sisään.
>
> Kun tämä on pääongelma, niin tietoturvapäivitykset ovat mittasuhteiltaan

Ei toi ole pääongelma, se on vain yksi ongelman osa. Tuon jälkeen
adslbokseja häkättiin satoja tuhansia ihan sen takia, että niissä oli
virhe, ja salasanalla ei ollut mitään tekemistä asian kanssa. (Ja
tungettiin niihin sama mirai-mato, jota niihin kameroihinkin)

[Jouko Holopainen]

On 03.01.2017 20:45, Reijo Korhonen wrote:
> Kun tämä on pääongelma, niin tietoturvapäivitykset ovat mittasuhteiltaan
> kuin hyttysen pissa valtamaressä. Niin pieni asia että ei näy, tuunu tai
> maistu eikä tarvitsekaan. Vai maistaako joku teistä hyttysen pissan
> valtameressä? ;-)

Luitko ollenkaan sitä Sonyn turvakamerahäkkäystä? Oletko tietoinen
niistä kaikista SSL-bugeista ja mitä niillä on/olisi saatu (lue:
vastaavilla tullaan saamaan) aikaan? Kaikesta päätellen et.

--
@jhol

www.iki.fi/jhol

[Reijo Korhonen]

Miten asiat liittyvät toisiinsa tai sulkivat toisensa pois? Oikeasti
pääosa tietoturvamurroista elikkä 99.9% johtuu siitä, että avoimessa
verkossa on näkyvissä kuluttajalaitteita, joissa on manuaalisssa kerrottu
käyttäjätunnus ja salasana. Joten tämäkö estää minua tai jotain muutakin
tahoa lukemasta että muitakin tietoturvaongelmia on olemassa, ja
lataamasta tietoturvapäivityksiä?

Ja kun pääosa tietoturvasongelmista johtuu tuosta ylläkerrotusta syystä,
siksikö jätät vaihtamatta käyttäjätunnusta ja salasanaasi turvalliseksi
verkkoon kytkemääsi laitteeseen. Etpä tietenkään. Ja luultavasti siksi,
että asiat eivät liity toisiinsa. Toinen asia on kuitenkin merkittävästi
suurempi kuin toinen.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Miten asiat liittyvät toisiinsa tai sulkivat toisensa pois? Oikeasti
> pääosa tietoturvamurroista elikkä 99.9% johtuu siitä, että avoimessa
> verkossa on näkyvissä kuluttajalaitteita, joissa on manuaalisssa kerrottu
> käyttäjätunnus ja salasana.

Toi ilmoittamasi prosenttiluku on hyvin kaukana todellisuudesta.

[Tapio Väättänen]

On 2017-01-08, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
> On Thu, 05 Jan 2017 05:00:03 +0200, Jouko Holopainen wrote:
>
>> On 03.01.2017 20:45, Reijo Korhonen wrote:
>>> Kun tämä on pääongelma, niin tietoturvapäivitykset ovat
>>> mittasuhteiltaan kuin hyttysen pissa valtamaressä. Niin pieni asia että
>>> ei näy, tuunu tai maistu eikä tarvitsekaan. Vai maistaako joku teistä
>>> hyttysen pissan valtameressä? ;-)
>>
>> Luitko ollenkaan sitä Sonyn turvakamerahäkkäystä? Oletko tietoinen
>> niistä kaikista SSL-bugeista ja mitä niillä on/olisi saatu (lue:
>> vastaavilla tullaan saamaan) aikaan? Kaikesta päätellen et.
>
> Miten asiat liittyvät toisiinsa tai sulkivat toisensa pois? Oikeasti
> pääosa tietoturvamurroista elikkä 99.9% johtuu siitä, että avoimessa
> verkossa on näkyvissä kuluttajalaitteita, joissa on manuaalisssa kerrottu
> käyttäjätunnus ja salasana.

Kai sulla on tähän jokin viitekin?

--
sip:t...@tav.iki.fi http://tav.iki.fi

Vähän viiniä ja ruokaa ei vie meitä konkurssiin -- J.R. Ewing

[Jouko Holopainen]

On 08.01.2017 14:49, Reijo Korhonen wrote:
> On Thu, 05 Jan 2017 05:00:03 +0200, Jouko Holopainen wrote:
>
>> On 03.01.2017 20:45, Reijo Korhonen wrote:
>>> Kun tämä on pääongelma, niin tietoturvapäivitykset ovat
>>> mittasuhteiltaan kuin hyttysen pissa valtamaressä. Niin pieni asia että
>>> ei näy, tuunu tai maistu eikä tarvitsekaan. Vai maistaako joku teistä
>>> hyttysen pissan valtameressä? ;-)
>>
>> Luitko ollenkaan sitä Sonyn turvakamerahäkkäystä? Oletko tietoinen
>> niistä kaikista SSL-bugeista ja mitä niillä on/olisi saatu (lue:
>> vastaavilla tullaan saamaan) aikaan? Kaikesta päätellen et.
>
> Miten asiat liittyvät toisiinsa tai sulkivat toisensa pois? Oikeasti
> pääosa tietoturvamurroista elikkä 99.9% johtuu siitä, että avoimessa
> verkossa on näkyvissä kuluttajalaitteita, joissa on manuaalisssa kerrottu
> käyttäjätunnus ja salasana.

Sonyn tapauksessa näin ei ollut. En kerro miten oli, kun sen jo
kertaalleen olen kertonut.

> Joten tämäkö estää minua tai jotain muutakin
> tahoa lukemasta että muitakin tietoturvaongelmia on olemassa, ja
> lataamasta tietoturvapäivityksiä?

Harva käyttäjä noita päivittää kun ne eivät itse osaa itseään päivittää.
Harvaa edes voi päivittää vaikka reikiä olisi tiedossa.

> Ja kun pääosa tietoturvasongelmista johtuu tuosta ylläkerrotusta syystä,
> siksikö jätät vaihtamatta käyttäjätunnusta ja salasanaasi turvalliseksi
> verkkoon kytkemääsi laitteeseen. Etpä tietenkään. Ja luultavasti siksi,
> että asiat eivät liity toisiinsa. Toinen asia on kuitenkin merkittävästi
> suurempi kuin toinen.

Olen jo ties kuinka monta kertaa sanonut, että defaulttisalasanaa ei
laitteessa saisi olla. Vika, että "sitä ei ole vaihdettu" ei minusta
todellakaan ole käyttäjän, vaan valmistajan.

Lisäksi SSL- tai muun kirjaston bugeihin salasanoilla ei ole mitään
merkitystä. Tai jos laitteesi on tehty kuten Sonyn turvakamerat oli.

Uskaltaisin väittää, että yli 90% laitteista on tehty päin persettä, eli
että niistä löytyy helpohkosti etänä hyödynnettävä reikä, jolle käyttäjä
ei mahda mitään (päivitysten puuttumisen takia, jne.). Kräkkerit eivät
ole vielä innostuneet etsimään noita reikiä, kun sonyismi on vahva.
Mutta kyllä ne vielä hyödynnetään.

--
@jhol

www.iki.fi/jhol

[Reijo Korhonen]

On Mon, 09 Jan 2017 01:55:42 +0000, Tapio Väättänen wrote:

> On 2017-01-08, Reijo Korhonen <reijo.k...@invalid.invalid> wrote:
>> On Thu, 05 Jan 2017 05:00:03 +0200, Jouko Holopainen wrote:
>>
>>> On 03.01.2017 20:45, Reijo Korhonen wrote:
>>>> Kun tämä on pääongelma, niin tietoturvapäivitykset ovat
>>>> mittasuhteiltaan kuin hyttysen pissa valtamaressä. Niin pieni asia
>>>> että ei näy, tuunu tai maistu eikä tarvitsekaan. Vai maistaako joku
>>>> teistä hyttysen pissan valtameressä? ;-)
>>>
>>> Luitko ollenkaan sitä Sonyn turvakamerahäkkäystä? Oletko tietoinen
>>> niistä kaikista SSL-bugeista ja mitä niillä on/olisi saatu (lue:
>>> vastaavilla tullaan saamaan) aikaan? Kaikesta päätellen et.
>>
>> Miten asiat liittyvät toisiinsa tai sulkivat toisensa pois? Oikeasti
>> pääosa tietoturvamurroista elikkä 99.9% johtuu siitä, että avoimessa
>> verkossa on näkyvissä kuluttajalaitteita, joissa on manuaalisssa
>> kerrottu käyttäjätunnus ja salasana.
>
> Kai sulla on tähän jokin viitekin?

Jos seurasit viimeistä suurempaa kohua häkätyistä verkkoon liitetyistä
kameroista ja vaubamionitoreista, niin köydät taatusti viitteden itsekin
sekä aika monta asiatuntijalausuntoa siitä, mistä suurin osa häkkäyksistä
johtuu.


--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Reijo Korhonen]

On Mon, 09 Jan 2017 06:12:55 +0200, Jouko Holopainen wrote:

> Olen jo ties kuinka monta kertaa sanonut, että defaulttisalasanaa ei
> laitteessa saisi olla. Vika, että "sitä ei ole vaihdettu" ei minusta
> todellakaan ole käyttäjän, vaan valmistajan.

Voithan sinä sanoa bäin vieläå kuinka monta kiertaa, mutta eivät
valmistajat muuta menettelyään sinun sanomanasi, mutta jos sinä ja
keverisi alkavat ostaa vain tälläisia laitteita, niinb silloin saat ehkä
kavereinesi muutosdta aikaa, mutta ylsin et tietenkään. Bika ei siis ole
valmistajissa - jokja valmistavat halvimmalla, koska sinä ja kaverisi
ostavat halvimmalla eikätkä oikeasti maksa tätä käytön vaikeutumisdta
eivätkä myöskään maksa kasvaneita valmistuskuluja, vaan ostavat tälläisen
muutoksen tehneenm valmistajan tuotyteen sijasta kilpailevaa tuotetta,
jossa salasana on se vakio, joka näkyy vakiokäyttöohjeessa.

Valömistusprosesseista jotain tietävä ymmärtää, että jokainenm
yksilöllinen työvaike tekee tuotteesta kallimman. Halvinta on tietenkin
tehdä ihan sitä samaa bulkkia, jossa jokainen kappale on taatusti ihan
samanlainen, prikulleen.

Halvimmalla homma tulee turvalliseksi, kunhan kuluttajat tupeavat
täysjätkisiksi ja muuttavat salasanat ja käyttäjätunnukset kuten
manhuaalissa sanotaan, mutta ei, kukutaito tai lukuviitsi9minen on
hukassa. Sen sijaan muiden syyttely on jtkkö hallussa, vaikka suurin
syyllinen löytyy peilistä katsomalla kuten yleensäkin.



--
Re...@iki.fi.nospam.invalid
http://www.iki.fi/Reijo

[Tapio Väättänen]

En toden totta löydä.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Relational people do it on tables!" -- Timon kommentti tietoviikon
artikkeliin "Miksi tietokanta ei ole enää seksikäs?"

[Ari Saastamoinen]

Reijo Korhonen <reijo.k...@invalid.invalid> writes:

> Jos seurasit viimeistä suurempaa kohua häkätyistä verkkoon liitetyistä
> kameroista ja vaubamionitoreista, niin köydät taatusti viitteden itsekin
> sekä aika monta asiatuntijalausuntoa siitä, mistä suurin osa häkkäyksistä
> johtuu.

Olen seurannut alan uutisointia, sekä olen myös mukana irkkikanavalla,
jossa jossa on mukana kotimaisia viranomaisia, tietoturvafirmojen
edustajia ja tärkeimpien eleyritysten edustajia. Siellä käsitellään
tällaisia aiheita monesti jo ennen uutisiakin. Ja minulle ei ainakaan
ole jäänyt sellainen mielikuva, että nuo laitteiden oletussalasanat
olisivat yleisin hyökkäysvektori vaikkakn osuessaan saattavat
aiheuttaakin suuren piikin tilastoihin.

Oletko itse lukenut esim. Viestintäviraston Tietoturvanyt
-uutisointia, ja tuoltakaan noi oletussalasanat eivät mitenkään
kauheasti pistä silmään.
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt.html

Tai vaikka yleiskatsaus tietoliikennetoimialalta (Tosin vuoden 2016
yhteenvetoja ei taida vielä olla saatavilla). Ei tuossakaan kauheasti
pistä silmään se, että vaihtamattomat salasanat muka kattaisi lähes
kaikki tapaukset
https://www.viestintavirasto.fi/attachments/toimialatieto/Toimialakatsaus_1_2016_FI.pdf

[Tapio Väättänen]

On 2017-01-10, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Reijo Korhonen <reijo.k...@invalid.invalid> writes:
>
>> Jos seurasit viimeistä suurempaa kohua häkätyistä verkkoon liitetyistä
>> kameroista ja vaubamionitoreista, niin köydät taatusti viitteden itsekin
>> sekä aika monta asiatuntijalausuntoa siitä, mistä suurin osa häkkäyksistä
>> johtuu.
>
> Olen seurannut alan uutisointia, sekä olen myös mukana irkkikanavalla,
> jossa jossa on mukana kotimaisia viranomaisia, tietoturvafirmojen
> edustajia ja tärkeimpien eleyritysten edustajia. Siellä käsitellään
> tällaisia aiheita monesti jo ennen uutisiakin. Ja minulle ei ainakaan
> ole jäänyt sellainen mielikuva, että nuo laitteiden oletussalasanat
> olisivat yleisin hyökkäysvektori vaikkakn osuessaan saattavat
> aiheuttaakin suuren piikin tilastoihin.

Samoin jos googlettaa malliin "biggest security threats" saa useita linkkejä
tietoturvatoimijien blogeihin, tiedotteisiin ym. joista ei ainakaan saa
sellaista kuvaa, että 99.99% tietoturvauhista liittyisi mitenkään
oletussalasanoihin. Ei edes sellaista kuvaa, että oletussalasanoihin
liittyvät uhat olisi mitenkään erityisen merkittävä uhka. Suurin osa
kuluttajalaitteista on NATin takana etähallinta disabloituna, joten pelkkä
oletussalasana ei avaa kaikkia portteja maailmalle.

Tämä väite siitä, että 99.99% tietoruvauhista liittyisi mitenkään
oletustunnuksiin tai salasanoihin ei perustu mihinkään.

Toisekseen, valmistajille on etenkin kuluttajalaitteisiin äärimmäisen
triviaalia generoida salasanat ja tunnukset, jotka ovat laitekohtaisia. Näin
sitäpaitsi usein onkin, mutta pitäisi olla ennemminkin kuin sääntö kuin
poikkeus.

Ammattilaitteet ovat sitten eri asia, koska ne usein otetaan käyttöön etänä ja
fyysisen asennuksen saattaa tehdä aivan eri henkilö kuin itse
konfiguroinnin. Yritysten voisi myös olettaa toimivan eri tavalla kuin
yksityishenkilöiden ja vaihtavan oletussalasant. En väitä että näin on,
mutta Reijonkin ainoa esimerkki oli nimenomaan kuluttajalaitteisiin liittyvä.
Toisekseen, yritystenkin laitteet ovat useimmiten palomuurin takana, joten
yksittäisen laitteen oletussalasana ei sekään avaa portteja koko
internetille.

Jos yritys noudattaa mitään standardeja, kaikki verkossa olevat laitteet
skannataan mahdollisten uhkien osalta. Olet työni osalta vittuuntumiseen
asti koittanut selittää, että esim. laitteiston omaan sisäverkkoon tarjoama
NFS-palvelu ei ole kovin merkittävä tietoturvauhka, vaikka teidän
skannerinne sitä sellaisena pitääkin, eikä me sitä voida poistaakaan ja
samalla tarjota toimiva systeemi.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"You cannot be too rich, too thin, or commit too often." -- Mark A.

[Ari Saastamoinen]

Tapio Väättänen <t...@iki.fi> writes:

> Toisekseen, valmistajille on etenkin kuluttajalaitteisiin äärimmäisen
> triviaalia generoida salasanat ja tunnukset, jotka ovat laitekohtaisia. Näin

Eivät ole noin kuitenkaan tehneet. Mutta en mä tuota siltikään
luonnehtisi äärimmäisen triviaaliksi. Jos laitteen
"tiedostojärjestelmä" on esim. joku kompressoitu systeemi, niin ennen
jokaista flashausta tuosta imagesta pitää vaihtaa salasana,
kompressoida se uudestaan. Selkeästi tuo "ylimääräisen" hidastavan
työvaiheen. Toinen vaihtoehto olisi se, että värkki ei toimisi
lainkaan ellei käyttäjä sinne aseta salasanaa, mutta toi taas ei
markkinoinnillisesti ole välttämätttä paras vaihtoehto.

[Tapio Väättänen]

On 2017-01-10, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:

> Tapio Väättänen <t...@iki.fi> writes:
>
>> Toisekseen, valmistajille on etenkin kuluttajalaitteisiin äärimmäisen
>> triviaalia generoida salasanat ja tunnukset, jotka ovat laitekohtaisia. Näin
>
> Eivät ole noin kuitenkaan tehneet. Mutta en mä tuota siltikään
> luonnehtisi äärimmäisen triviaaliksi.

Kyllä noin on tehty. Esim. ADSL-modeemin, jonka viimeksi hankin, salsana oli
laitteessa olevassa tarrassa, ja se oli eri joka ikissessä laitteessa.
Bellin ADSL-modeemi.

> Jos laitteen
> "tiedostojärjestelmä" on esim. joku kompressoitu systeemi, niin ennen
> jokaista flashausta tuosta imagesta pitää vaihtaa salasana,
> kompressoida se uudestaan. Selkeästi tuo "ylimääräisen" hidastavan
> työvaiheen. Toinen vaihtoehto olisi se, että värkki ei toimisi
> lainkaan ellei käyttäjä sinne aseta salasanaa, mutta toi taas ei
> markkinoinnillisesti ole välttämätttä paras vaihtoehto.

Sen salasanan voi myös pakottaa asettamaan laitetta käyttöönotettaessa,
johon olen tärmmännyt myös. Ennen kuin salasana on asetettu, laite ei ole
täydessä toimintakunnossa.