Total Security

[Dragspel]

Kyseehän on siis ollut TS hyökkäyksestä, jolla se yrittää saada lataamaan virusfaileja, mutta minähän en ole mitään sieltä ladannut joten niitä ei tällä koneella ole.

Näin minäkin asian ymmärrän.

[Viljo]

Huomenta vaan.

Aiheeseen liittyvä afterdawn-keskustelu. Ketju on aloitettu 10.9.09, joten juttu on tuore.

http://keskustelu.afterdawn.com/t.cfm/f-151/total_security_09-799027/

Älkää klikatko mitään linkkejä ennen kuin olette lukeneet viestiketjun loppuun.

[risto]

Kyseehän on siis ollut TS hyökkäyksestä, jolla se yrittää saada lataamaan virusfaileja, mutta minähän en ole mitään sieltä ladannut joten niitä ei tällä koneella ole.

Näin minäkin asian ymmärrän.

Tähän juttuun ei oikeastaan kannata kenenkään enempiä tuhlata aikaa tai energiaa, sillä tämä tuskin ratkeaa haitarimiesten osaamisella. Teen asiasta jossain vaiheessa kun jaksan ilmoituksen F-Securelle. Viimekädessähän tämä on oikeastaan puute tietoturvaohjelmistossa tai palomuurissa, joiden pitäisi kyetä estämään tällaiset hyökkäykset. Dragspelin Soneran tietoturva lienee sama F-securen paketti kuin minun Elisalta.

EDIT: Viljon edelliseen viestiin liittyen: Pelkkä hyökkäys ei tarkoita että kone on saastunut. Jos jollakin kuitenkin on saastunut kone, mutta maksettu tietoturvalisenssi kannattaa pyytää omalta tietoturvayhtiöltä neuvot ennemmin kuin tuhlata aikaansa erilaisten nettikeskusteluiden seuraamiseen, joista suurin osa on puutaheinää.

[klezberg]

Jos koettaa vetää yhteen tämänhetkisen tiedon pohjalta:

- muutama windows-käyttäjä (oliko kaikilla IE8?) on saanut TS-hyökkäyksen (ei virus vaan hyökkäys: popup, white background) toistuvasti ollessaan tällä sivustolla; white background tullut myös mac-käytössä
- käyttäjien koneista ei ole löytynyt viruksia
- webbisovelluksen koodista ja tietokannasta ei ole löytynyt epäilyttävää (selvityksen yksityiskohdat eivät tiedossa, esim. onko käytössä jokin työkalu jolla voidaan havaita onko tiedostoja muutettu?)

Keskeistä olisi nyt löytää tietoa siitä millä keinoin TS-hyökkäys leviää. Googlaaminen ei ole ihan helppoa koska TS:n poistamisesta on niin paljon tietoa.

Ihan analyyttisesti on kolme päävaihtoehtoa:
- itse palvelu on saastunut
- käyttäjän koneella on jotain saastunut
- kolmas osapuoli aiheuttaa TS-hyökkäyksen palvelua käytettäessä

Kolmannen osapuolen mukaantulo voisi tapahtua mm.
- dns-kaappauksen kautta (käyttäjä ohjautuukin valesivuille)
- muitakin keinoja tuohon valesivuohjaukseen on, katsokaa ainakin onko teillä selaimessa jokin proxy asetettuna (ts. serveri jonka kautta kaikki selainliikenne kierrätetään)
- jokin sivulla oleva kolmannen osapuolen tarjoama tiedosto yms. YHDISTETTYNÄ selaimessa olevaan tietoturva-aukkoon
- webbihotelliserveri on saastunut

Tuosta kolmoskohdasta. Näillä sivuilla olevat käyttäjien kuvat tulevat osittain ulkopuolisilta servereiltä. Jpg-kuviin on ainakin ennen liittynyt tietoturva-uhkia tietyissä selaimissa olevien tietoturva-aukkojen myötä.

Kokemuksesta sanoisin että mitään vaihtoehtoa ei kannata kokonaan sulkea pois. Ongelma usein löytyy lopulta sellaisesta suunnasta jota piti epätodennäköisenä ja siksi jotakin jäi näkemättä.

[klezberg]

EDIT: Viljon edelliseen viestiin liittyen: Pelkkä hyökkäys ei tarkoita että kone on saastunut. Jos jollakin kuitenkin on saastunut kone, mutta maksettu tietoturvalisenssi kannattaa pyytää omalta tietoturvayhtiöltä neuvot ennemmin kuin tuhlata aikaansa erilaisten nettikeskusteluiden seuraamiseen, joista suurin osa on puutaheinää.

Silti, jos tässä on tietty mahdollisuus että tämä saitti levittää (joka suoraan tai epäsuorasti) tuota hyökkäystä, niin sitä ehkä kannattaa myös selvittää. Tai sitten ei. Nyt alkaa työviikko kumminkin 

[risto]

Silti, jos tässä on tietty mahdollisuus että tämä saitti levittää (joka suoraan tai epäsuorasti) tuota hyökkäystä, niin sitä ehkä kannattaa myös selvittää. Tai sitten ei. Nyt alkaa työviikko kumminkin 

Se että saitit voivat levittää viruksia on tunnettu juttu. Ehkä asiasta selviää jotakin kun teen ilmoituksen f-securelle.

[klezberg]

Silti, jos tässä on tietty mahdollisuus että tämä saitti levittää (joka suoraan tai epäsuorasti) tuota hyökkäystä, niin sitä ehkä kannattaa myös selvittää. Tai sitten ei. Nyt alkaa työviikko kumminkin  

Se että saitit voivat levittää viruksia on tunnettu juttu.

Juu, mutta kuinka. Sen pitäisi kiinnostaa webbisaitin ylläpitäjää ja webbisovellusten kehittäjiä.

Ne webbisaitit jotka on tahallaan tehty levittämään haittaohjelmia eivät tässä kiinnosta, vaan mekanismit joilla tavalliset saitit saastutetaan. Mutta ymmärrän että sinun mielenkiintosi lopahtaa kun alkaa näyttää että ongelma ei ole sinun koneellasi.

Ehkä asiasta selviää jotakin kun teen ilmoituksen f-securelle.

Toivottavasti.

Ajattelin nyt pitää IE8:a auki tällä sivustolla tämän päivän kokeeksi.

[klezberg]

Mulla on nyt ollut töiden lomassa tämä sivusto auki IE:ssa (niin ettei muita sivuja samalla selaimella auki). Aina välillä olen selaillut keskusteluja läpi. Mitään ei ole ilmennyt toistaiseksi.

Huomaan, että tässä selaimessa näkyy F-Securen työkalurivi, josta voi valita toimiiko selain suojatussa tilassa vai ei. Oletuksena on suojattu tila. Riviltä voi myös lähettää F-Securelle pyynnön että sivun turvallisuus analysoidaan. Siihen laitetaan oma mielipide mukaan: onko sivu turvallinen vai aiheuttaako haittaa. Onkos sinulla Risto tämmöistä työkaluriviä ja jos on, missä tilassa?

[klezberg]

Työpäivän aikana ei ilmennyt hämminkiä näillä sivuilla IE8:n kanssa, lukuunottamatta sitä että yhteys serverille oli jonkin aikaa kokonaan poikki. Klikkasin kuitenkin f-securelle arviointipyynnön tästä saitista, mutta liputtamatta sitä puoleen tai toiseen (varsinkaan haitalliseksi).

Nyt taitaa saada puolestani riittää. Vähän kun jo tuntuu siltä että alkaako täällä välit tulehtumaan  tämän selvittelyn myötä. Nettiviisastelen tästedes firman kautta.

[Armando Bugari]

Helpostihan luovat ihmiset reagoi, kun joku uusi haaste ilmestyy näppeihin. Jännittäväähän se on seikkailu tietokoneen ja netin ihmeellisessä maailmassa (ihme ja kumma - vieläkin). Jopa voi olla hauskempaa, kuin tympeä eestaas -skaalojen harjoittelu vanhanaikaisella instrumentilla. Joka varsinkaan alkupeleissä ei ole kovinkaan palkitsevaa ja jopa tuskastuttavan hidasta - varsinkin kun soittoa voi kuunnella hidastettuna tietokoneelta...

Ikävää on se, jos vaikkapa työaikaa riistäytyy IT-alan ammattilaiselta, joka on tämän forumin kantavia voimia.

- Kun itse ongelma nyt ja tässä on varsin vähäpätöinen tai ainakin minimalistinen: yksi tai kaksi tämän nettiyhteisön jäsenistä on saanut peloittavan popupin, kun sivusto on ollut auki - ilmeisesti muitakin sivustoja on ollut avoinna yhtä aikaa. Eikä mitään vakavaa ole tapahtunut... eihän? Ellei nyt sitten pelkotilaa vakavaksi tiedosteta.

- Noita googletustietoja tavatessani olen ymmärtänyt, että mokoma pelon aiheuttaja on PuuCee -ympäristön, eli erään amerikkalaisen maailmanvalloittajan peräheikkien kiero salajuoni, joka pitäisi heti paljastaa ainakin kiinalaisille Hofnarreille. Jos ei softaa asenna koneelleen, niin mitään hätiä ei ole. Edellinen kommenttini on luokiteltava leikinlaskuksi, mutta myös kokemusperäiseksi arkipäivän realismiksi. Vähän niinkuin vasen käsi ja oikea käsi soitettaessa.

- Nyt olisi tietenkin paikka hiukan mainostaa erästä huonommin menestyvää jenkkien miljonäärifirmaa.  Joskus kai - mainostin ihan riittävästi ja julkisesti vuodesta 86 - lähtien. Vieläkään nykyaikainen koneeni ei ymmärrä mikkihiiren .exeTalkia;-). Em. on itse keksimäni termi... mut kun ei kone tajua, niin ei.

- Todellisen viisastelun omasta puolestani pyydän osoittamaan vanhalle vuosientakaiselle kiusakumppanilleni Kaifunille, joka ei jätä ketään rankaisematta! Sanakin poikittain, niin voi olla, ettei kirjoita tänne pitkään aikaan?

[Viljo]

Seuraa faktaa.

- Palveluntarjoajan koko serverikanta oli käyttökatkossa tänään. Se oli sen katkon syy.

- Olin yhteydessä Datamapin ylläpitoon ja hommaa käytiin läpi serveriltä päin. Alla viesti, mikä katkaisee niskat monilta väitteiltä.

Hyvä Asiakkaamme,

Kiitoksia yhteydenotostanne.

Näyttäisi siltä, että webhotelli on puhdas. Total Security on selaajan
tietokoneella oleva ohjelma, jonka tehtävänä on varoittaa eri kotisivuilla
muka olevista haittaohjelmista ja viruksista ja samalla tarjota maksullista
tietoturva-ohjelmaksi naamioitunutta haittaohjelmaa. Näin ollen ongelma on
siis jokaisen selaajan tietokoneella, ei webhotellissasi.

Suosittelen kuitenkin aina webhotelliin asennettujen ohjelmien päivittämistä
uusimpiin versioihin.


Ystävällisin terveisin,

Eli. Tsekatkaa omat koneenne sopivalla spy-ware / virus-ohjelmalla. Ks. vastaus 88.

[klezberg]

Seuraa faktaa.

- Palveluntarjoajan koko serverikanta oli käyttökatkossa tänään. Se oli sen katkon syy.

- Olin yhteydessä Datamapin ylläpitoon ja hommaa käytiin läpi serveriltä päin. Alla viesti, mikä katkaisee niskat monilta väitteiltä.

Mulle taitaa alkaa riittää lopullisesti. Olen yrittänyt analysoida täällä esitetyn tiedon perusteella mistä voi olla kysymys. Millään väitteillä ei tämmöisiä ongelmia ratkota vaan vaihtoehtojen identifioinnilla ja poissulkemisella.

Hyvää jatkoa vain kaikille.

[Dragspel]

Näyttäisi siltä, että webhotelli on puhdas.

Tämä konditionaali ei nyt oikein vakuuta tässä kohtaa, kun hyökkäykset ovat tulleet kuitenkin Vapaalehdykän ollessa avoimena.

Total Security on selaajan
tietokoneella oleva ohjelma,

Total Security on selaajan tietokoneella oleva ohjelma vasta sen jälkeen, kun se on sinne asennettu.

Omilta koneiltani ei ole löytynyt "roskia", joten jostain ulkopuolelta nämä hyökkäykset tulevat.

[Dragspel]

Olen tehnyt yhden häiriöilmoituksen tästä Total Securitystä. Luulisi tietoturva- ja suojausnikkareiden löytävän konstit tämänkin nujertamiseen tai ainakin siltä suojautumiseen.

Aikamoinen keitoshan tästä on syntynyt, mutta yritetään nyt kuitenkin muistaa, että kaikenlainen suojausten ym. kehittäminen on meidän kaikkien parhaaksi.

Ei ole ollut tarkoitus millään tavoin mustata tämän sivuston mainetta, katsoin kuitenkin aiheelliseksi ilmoittaa havainnostani, jotta toiset käyttäjät osaisivat paremmin varautua mahdolliseen "yllätykseen".

[Viljo]

Vaihdoin vielä Datamapin kanssa yhdet sähköpostit. Tässä vastaus viimeisestä viestistä.

Joka kerta, kun selaimeen avataan tuo foorumi, käy selaajan tietokoneelle
asetettu virusohjelma palvelimelta tulevan koodin läpi. Varoitus tulee siis
automaattisesti käyttäjän koneella.

Jos sivuston ohjelmat on aina päivitetty uusimpiin ja haavoittumattomiin
versioihin, on käytännössä ainoa tapa saada viruksia webhotelliin se, että
sivustoa ylläpidetään koneelta, jossa on viruksia tai haittaohjelmia.
Muistathan aina tarkistaa myös oman koneesi (jos et siis kuulu
Linux/Mac-käyttäjiin).

Käytössäni on Linux Ubuntu 8.04 "Hardy". Järjestelmä on LTS eli pitkäaikaistuettu. Seuraava LTS-versio tulee muistaakseni keväällä 2011. Ydin Linux 2.6.24-24-386, Gnome 2.22.3.

Toisin sanoen koodi ei ole voinut tulla sivustolle koneeni kautta, joka on ainoa kone, jolla teen ylläpitotöitä. Linux on käytännössä virusvapaa käyttöjärjestelmä.

[risto]

Vaihdoin vielä Datamapin kanssa yhdet sähköpostit. Tässä vastaus viimeisestä viestistä.

Joka kerta, kun selaimeen avataan tuo foorumi, käy selaajan tietokoneelle
asetettu virusohjelma palvelimelta tulevan koodin läpi. Varoitus tulee siis
automaattisesti käyttäjän koneella.

Piti olla puuttumatta enää tähän, mutta pakko todeta, että tuo nyt oli minusta ihan puppua. Kyse ei ole minkään asiallisen ohjelman varoituksesta vaan virusohjelman matokoukusta, täkystä, jolla käyttäjä saataisiin painamaan nappia (l. antamaan lupa), joka lataisi varsinaisen virusohjelman l. Total Security ohjelman käyttäjän koneelle.

[risto]

Luin Viljon antaman SMF sivustolla aihetta koskevan topikin läpi lähes kokonaan. Sivulla 5 on ratkaisun avain. Vika ei tämän perusteella ole SMF sivustossa vaan itseasiassa palveluntarjoajassa.  Kai tästä on tiedoitettu eteenpäin? Pelkkä vapaalehdykkäsivuston uudelleen asennus ei silloin poista itse ongelmaa lopullisesti. Lainaus sivulta 5, jonkun SMF sivuston ylläpitäjän ilmoitus saman virusongelma ratkeamisesta:

http://www.simplemachines.org/community/index.php?topic=336903.80

OK guys, I think this is now resolved. I hope I am now free from any virus/redirection problems. I apologise to the support team for wasting thier time, however the real problem was the hosting company who should really be the people apologising to myself and the SMF dev team. I will spare thier blushes by not naming them, although I fell I should given the amount of hard work they have caused everyone.

Fortunately for me I have some very skilled and resourceful people use my forum. I asked a long term forum member to help me solve this problem as I had run into a brick wall and feared there was no way I could resolve the problem. The guy I asked to help did a few tests on the site and said he felt the issue was with the hosts. He then set about finding who shared my server and he contacted the webmasters via email. By Monday morning he had quite a few replies from the various webmasters all stating that they had exactly the same issues as myself and that the hosts had blaimed thier software rather than themselves.

Armed with the results of the tests he did on my site and with the emails from the other webmasters he then confronted the hosts. The hosts quickly realised they were dealing with someone who knew what he was talking about. They looked into the matter and admitted to being at fault. I dont know the technicalities of the matter but it was enough to make them get thier asses in gear.

Fingers crossed it looks like my site is now clean and I am endebted to the lad who sorted it out for me. I would like to say a very big thankyou to the SMF support team for thier assistance and for thier patience with me. You are a great set of guys who offer an invaluable service to all of us who use the software you develop.

Best wishes - Glenn    

EDIT: Kaikkien IE käyttäjien kannattaa tyhjentää cookiet pois koneeltaan.

[Viljo]

Luin kyllä tuon. Siellä on useita foorumeita ympäri ämpäri Tellusta, joilla on samainen ongelma. Huoltotoimenpide oli se, mitä kehittäjät ehdottivat ensiavuksi.

[risto]

Tiedoksi vielä, että olen omalta osaltani tehnyt asiasta ilmoituksen F-secureen. Ilmoituksessa annoin linkit tämän sivuston asiaa koskeviin keskusteluihin. Toivotaan parasta.

[risto]

Huomaan, että tässä selaimessa näkyy F-Securen työkalurivi, josta voi valita toimiiko selain suojatussa tilassa vai ei. Oletuksena on suojattu tila. Riviltä voi myös lähettää F-Securelle pyynnön että sivun turvallisuus analysoidaan. Siihen laitetaan oma mielipide mukaan: onko sivu turvallinen vai aiheuttaako haittaa. Onkos sinulla Risto tämmöistä työkaluriviä ja jos on, missä tilassa?

Ei ole F-securen työkaluriviä. Onko sinulla F-Securen oma paketti vai jokin Elisan tms. kautta ostettu F-Securen paketti?