Keskustelua tietotekniikasta

[puuteknikko]

Juu, sama kuin tuossa aiemmassa. Juuri äsken päivitin ei tuetun läppärin W11 23H2 => 24H2

Keskustelua tietotekniikasta

Älä nyt Husky pidä hulluja jännityksessä huomiseen. Laita vastaus vielä tän päivän aikana :parku:

lampopumput.info

Tuo ei ole toisaalta yhtään huonompi juttu, nuo ovat sitä kokoluokkaa, että usein parempi odotella ekat korjaukset jonkin aikaa julkaisun jälkeen tai päivittää aina viimeistä edelliseen versioon.

Vähän sama kuin Mikrotikin laitteiden kanssa, koskaan ei saa päivittää versioon x.xx.0 vaan aikaisintaan x.xx.1

 

[-Teme-]

MacBook Air Intel prossullinen en muista miltä vuodelta/mallia oisko 2017? Ei kuitenkaan saanut viimeistä versiota enää MacOS jakelusta, mutta hyvin se pelittää edelleen ”olohuone” koneena.
Hidas se on verrattuna uudempaan m4 mallin MacBook Pro koneeseen, joten käyttö sen myötä vähäisempää.
Hyvin sille päivitykset edelleen rullaa ja softat saatavilla, eikä tarvitse kikkailla yhteensopivuusongelmien kanssa.

Uskomatonta kuitenkin että tietyt ammattisoftat tehdään _pelkästään_ Windowsille, vaikka käyttäjäkunnasta löytyy varmasti niin Linux kuin Mac käyttäjiä

 

[Harrastelija]

Yrityspuolella MS:llä on ainakin kaksi polkua Win10 osalta jos ei Win11 sopiva.
Ilmainen mutta joutuu asentamaan Win uusiksi. Tietoturvapäivityksiä tammikuu/27 asti?
Vuosimaksullinen ja ei tarvi päivittää. (28 asti?)

 

[Juha1964]

Kertokaas viisaammat mitä tää tarkoittaa kun mulla on tässä Asuksen 4G reitittimessä kiinni vain yksi laite 2.4 verkossa (puhelin jossa tää hallintaohjelma josta kuvakaappaus) ja reitittimen Lan -portit on tyhjät ilman piuhoja. Ja kuitenkin tää näyttää liikennettä langallisella puolella??
Miten tää langallisen verkon liikenne tarvii tulkita?

 

[Arisoft]

Miten tää langallisen verkon liikenne tarvii tulkita?

Olet kytkenyt WANisi väärään porttiin laitteessa?

 

[Juha1964]

Olet kytkenyt WANisi väärään porttiin laitteessa?

Mitään johtoja ei ole kytketty laturinpiuhan lisäksi.

 

[Harrastelija]

Juu kannattaa varmistaa että piuha operaattorille on kytketty WAN tekstillä tai maapallonkuvalla varustettuun liittimeen.
Omat laitteet sitten LAN tekstillä oleviin liittimiin.

Jossain laitteessa voi olla valittavissa että onko portti LAN vai WAN käytössä.

 

[Harrastelija]

Mitään johtoja ei ole kytketty laturinpiuhan lisäksi.

Sekoilisikohan laite kun operaattoria ei löydy?
Yrittää työntää bittejä WANiin vaikka sellaista ei ole kytketty.

Kannattaa tarkistaa asetuksista mikä portti on WAN. Jos sen voi vaikka disabloida tai kokeilla eri porttia.

 

[Juha1964]

Kannattaa tarkistaa asetuksista mikä portti on WAN.

Joo tässä mallissa on erikseen merkitty sininen Wan -liitin... ollut aina tyhjänä. Kiitos Täytyypä kurkata hallintaohjelmasta mitä wan- asetujaet kertoo

 

[Arisoft]

Mitään johtoja ei ole kytketty laturinpiuhan lisäksi.

Eihän siellä sitten pitäisi olla edes mitään liikennettä ainakaan tuolla tasolla. Edes siinä WLAN portissa.

Jos olet puhelimella yhteydessä pelkästään siihen laitteen omaan hallintaohjelmaan niin se on siellä langallisen verkon puolelle kytkettynä.

 

[maanma]

Epäilisin, että "langallinen verkko" tarkoittaa kuvassa LAN (sisä)verkkoa, jonka osa/jatke myös WLAN yleensä on.

 

[Juha1964]

Hallintaohjelma näyttää että vain yksi laite on aktiivisena .. kännykkä.
Täytyypä kokeilla kytkeä läppäri ethernetilla Lan porttiin ja katsoa mitä muutoksia hallintaohjelma näyttää.

Jouduin vaihtamaan reitittimen takuuna uuteen kun nuo Wlan 2.4 ja 5 -verkkojen merkkivalo ledit pimahtivat noin vuoden käytön jälkeen (3v takuu). Ainahan sitä silloin käy mielessä käyttääkö jokun muukin reititintä. Ajantasalla kuitenkin ohjelmisto ja etähallinta kielletty ihan viranomaisohjeidenkin mukaan. Varmuuden vuoksi perustin verkon uudestaan eri tunnuksilla tuolloin takuuvaihdon jälkeen.

Epäilisin, että "langallinen verkko" tarkoittaa kuvassa LAN (sisä)verkkoa, jonka osa/jatke myös WLAN yleensä on.

Täytyypä yhdistää läppäri ethernetillä reitittimeen ja katsoa mitä hallintaohjelmisto näyttää.

 

[sulo_s]

Täällä näyttää olevan myös tietotekniikasta tietäviä, siispä kysynkin jotta...

Minulla on vanha winkku tapletti, missä oli w10, ei toiminut häävisti.
Tänään aloin asenteleen siihen linuksin mintin, ei vaan osaa häävisti käsitellä kosketusnäyttöä. saati virtuaalista näppistä.
Näytönkin skaalaaus tuskaista jne.
Elikkäs
Mitä tietävät ehdottavat käyttikseksi mokomalle vekottimelle vai etsinkö jostain winkku 8, sillä se toimi kohtuu jouhevasti aikoinaan. Prossana siinä on joku intellin atom (en muista mikä nro) ja 4gigaa muistia.
Käyttöhän tulisi juurikin tähän perus surffailuun ja pikku projektien ohjailuun.
Itseä ei huoleta päivitykset, eikä virusten haitat.

 

[ML]

Suomessa vielä 60% Windows10:n käyttäjiä (dawn.fi)

Windows 10 osuus Suomessa edelleen yli 60% vaikka tuki päättyy pian

Windows 10 tukiaika päättyy lokakuussa 2025, mutta suomalaiset ovat haluttomia vaihtamaan uuteen käyttöjärjestelmään.

dawn.fi

"Tulossa yksi maailman suurimmista tietoturvakatastrofeista."

 

[kaihakki]

Mikä ihmeen katastrofi mukamas tulossa. Markkinointiväen lietsontaa. Kyllä Windows 10 voi käyttää edelleen. Ainoa ongelma tule pikkuhiljaa, kun erilaisten softien päivitykset päättyy. Mutta siltikin vanhat versiot yleensä toimii vielä pitkään.

 

[Arisoft]

"Tulossa yksi maailman suurimmista tietoturvakatastrofeista."

Höpsistä. Kyse on markkinointikampanjasta, jolla saadaan hirmuinen massa ihmisiä ostamaan tarpeetonta uutta elektroniikkaa täysin toimivien tilalle.

 

[HiTec]

No se Pentti Peruskäyttäjä käyttää sitä sähköpostiaan, lukee uutisiaan, makselee laskujaan ja kirjoittelee jossain keskusteluryhmissä ihan entiseen malliin ja miksikäs ei. Jos noita sivustoja ei korkata ja sinne jotain haittaohjelmia asenneta, niin melko huoletonna saa kyllä olla. Sähköpostissa ei pidä klikkailla ihan jokaista linkkiä auki, oli se Win10 tai vaikka Win20 siinä koneessa, ei se siitä miksikään muutu pelkällä käyttiksellä.

Toinen asia onkin sitten nämä satunnaissurffarit ja erilaisten pornosivujen perässä juoksijat, jotka voi sen oman koneensa saastuttaa ihan samalla tavalla oli siellä mikä käyttis tahansa. No toki jos käyttiksessä itsessään on enempi paikkaamatonta, niin se mahis saada se haitake omalle koneelle on suurempi, mutta...

 

[Arisoft]

Aikoinaan #Windows XP:n tuki oli lopetettu jo aikaa sitten, mutta kun sitten lopulta löytyi se bugi, jolla koneisiin pystyttiin hyökkäämään, niin päivitys tuli vaikka tuki oli jo lopetettu.

Tuen loppumisen suorin vaikutus on selaimeen. Jos käyttää muita selaimia kuin Microsoftin suosittelemaa, niin niihin tuki on jatkunut ongelmitta. Toinen vastaava kohde on antivirusohjelman tuki. Jos käyttää Windowsin omaa niin sen tuki loppuu mutta yleensähän ihmiset eivät siihen luota vaan hankkivat tilalle jonkin toisen, jonka tuki jatkuukin.

 

[kaihakki]

Minulla on lähes 10 erilaista Windows tietsikkaa tällä hetkellä eri tarkoituksissa osa koko ajan päällä ja osa silloin tällöin. Kaikki sisäverkossa kiinni ja sitä kautta netissä. Ikinä en ole mitään virusohjelmia asennellut. Mitään ongelmia ei koskaan ole ollut. 80-luvun alulta alkaen olen mikrojen kanssa touhunnut. Alkoi Nokian Mikro Mikko 1:llä, jossa oli CPM käyttäri. Siis kuka hakkeri on kiinnostunut jostain yksittäisen kansalaisen laitteesta.

 

[pamppu]

Siis kuka hakkeri on kiinnostunut jostain yksittäisen kansalaisen laitteesta.

Ei kukaan ole kiinnostunut sinun tiedoista. Mutta ne ovat kiinnostuneista sinun koneesta ja sen verkkokapasiteetista. Eli ihan kaikkia koneita ja laitteita kameroista sun muista alkaen yritetään kaapata ja lisätä osaksi bottiverkkoja, joilla toteutetaan palvelimestohyökkäyksiä. Niitä taas tapahtuu varsin usein nykyään.

Ei siellä ole takana yhtään yksittäistä hakkeria vaan massiivinen automaatio, jonka viulut maksaa joku rikollistaho tai vaikka ystävällinen naapurivaltio.

 

[ekomies]

Päivitin vanhan Win10 koneen Linuxiin.
Ensimmäistä kertaa asensin käyttöjärjestelmää. Samat perusasiat hoituu kuten ennenkin. Netin selaus, sähköposti, pankkiasiat, toimisto-ohjelmat ja tulostus.

 

[HiTec]

Eli ihan kaikkia koneita ja laitteita kameroista sun muista alkaen yritetään kaapata ja lisätä osaksi bottiverkkoja, joilla toteutetaan palvelimestohyökkäyksiä.

Noissakin vielä se huono puoli että noita DDOS on ollut helpohko vielä rajata maantieteellisesti, mutta kun nykyisin juuri nämä "ei mulla ole mitään kiinnostavaa" about lahjottavat sen oman kalustonsa näiden vihulaisten bottien käyttöön, niin se hyökkäys tuleekin yhä useammin ihan kotimaasta. Ala sitä sitten jotenkin maantieteellisesti pois rajaamaan = pitää tuohon torjuntaankin kehittää ihan uusia kuvioita. Tuohon joku huonosti suunniteltu pilvessä oleva systeemi, joka ottaa vain ns. lisää rautaa rajalle kuorman lisäntyessä, niin sitä on pahimmillaan melkoinen lasku odottamassa järjestelmän ylläpitäjää, kun pilvipalvelu laskuttaa heitä niiden käytettyjen resujen mukaan, ihan kuin siitä omien palvelujen kyykkäämisestä ei olisi jo riesaa riittämiin ja torjunnalla kädet täynnään hommia.

Eli suojataan ne omat koneet ja verkot itse kukin parhaan kykymme kukaan, jookosta. Näin saamme ylläpidettyä tätä digitalista lintukotoamme jatkossakin.

 

[Husky]

. Sähköpostissa ei pidä klikkailla ihan jokaista linkkiä auki, oli se Win10 tai vaikka Win20 siinä koneessa, ei se siitä miksikään muutu pelkällä käyttiksellä.

Noniin. (Lähestytään sellaista yksityiskohtaa joka kyberkeskusteluissa ja mediassa aina jätetään käsittelemättä.
Aina vaan sitä yleisp*skaa jonka jokainen jo tietää että älä anna pankkitunnusta rosvolle, mutta kun pitäisi jotakin oikeata tietoa jakaa niin ei sitten millään)

Eli.

Onko jotenkin vaarallisempaa klikata meililinkkejä, kuin selatessa?
Ja tarkoitan haittaohjelmia (joista yleensä kun aletaan puhua niin nopeasti päädytään siihen seinään että "älä huoli, ei sellaisia ole", ennenkuin päästään asiaan)

 

[puuteknikko]

Oletuksena hyperlinkit avautunee aina yhteen ja samaan selaimeen, joten ei ole väliä, mistä niitä klikkaa.

 

[Luukku]

Toinen asia onkin sitten nämä satunnaissurffarit ja erilaisten pornosivujen perässä juoksijat, jotka voi sen oman koneensa saastuttaa ihan samalla tavalla oli siellä mikä käyttis tahansa

Kaverin koneella oli virus, vaimonsa syytti häntä pornosivuilla seikkailuista, että sieltä se virus on tullu. Sitten selvisikin, että vaimo olikin avannut sähköpostin liitteen. Sieltä se sitten oli tullut.

 

[maanma]

Jos nettiä ei selata oletusselaimella niin linkkien aukeaminenkin eroaa sähköpostista avatusta.

 

[Arisoft]

Jos nettiä ei selata oletusselaimella niin linkkien aukeaminenkin eroaa sähköpostista avatusta.

Selaimeen ne silti aukeaa, johonkin niistä.

Onko jotenkin vaarallisempaa klikata meililinkkejä, kuin selatessa?

Meiliin tulee ehdottomasti enemmän houkuttelevia haittalinkkejä vaikka niitä toki nettisivuillakin näkyy.

Myös tekstiviestinä tulevat linkit voivat olla vaarallisia. Yleensä linkki itsessään ei ole vaarallinen vaan se, mitä käyttäjä linkin avaamalla sivulla sitten päättää tehdä. Tähän on toki pieniä poikkeuksia silloin, kun selaimessa on haavoittuvuus, jota ei ole vielä korjattu. Silloin pelkkä linkin avaaminen voi olla kohtalokasta.

 

[kotte]

Onko jotenkin vaarallisempaa klikata meililinkkejä, kuin selatessa?

Periaatteessa on, koska mailin mukana voi tulla aivan mikä hyvänsä linkki (pornosivun linkitkin ovat sieltä itseltään peräisin). Webbi-sivuilta aukeavat on sentään yleensä mahdollista todeta joko täysin epäilyttävästä lähteestä peräisin olevaksi (kuten epäilyttävällä porno- tms. sivulla esitettynä) tai sitten peräisin palvelimelta, jonka luotettavuutta voi kohtuullisesti selvittää tai johon joutuu luottamaan muutoinkin. Noiden e-mail-linkkien samoin kuin tekstareiden linkkien alkuperän selvittäminen on järjestään tapauskohtaisen päättelyn varassa ja edellyttää mail-headereiden tarkempaa syynäystä, mitä normaali mail-clientit näyttävät, ja jää useimmiten asteelle, että uskaltaisiko linkin kirjoittaa tai kopioida tekstinä itse suoraan selaimen osoitekenttään.

 

[tet]

Eli suojataan ne omat koneet ja verkot itse kukin parhaan kykymme kukaan, jookosta. Näin saamme ylläpidettyä tätä digitalista lintukotoamme jatkossakin.

Surullista on se, että meillä edelleen on käytössä tämä muinainen verkkoarkkitehtuuri, jossa proaktiivinen palvelunestohyökkäysten torjunta ei ole mahdollista, vaan pitää vain reagoida jo alkaneeseen hyökkäykseen. Vielä surullisempaa on, ettei juuri kukaan ilmaise halukkuutta muuttaa tilannetta, ja päivittää internet parempaan tekniikkaan jossa palvelunestohyökkäyksiä ei olisi.

 

[HiTec]

Onko jotenkin vaarallisempaa klikata meililinkkejä, kuin selatessa?
Ja tarkoitan haittaohjelmia (joista yleensä kun aletaan puhua niin nopeasti päädytään siihen seinään että "älä huoli, ei sellaisia ole", ennenkuin päästään asiaan)

Ei tuossa juurikaan eroa ole, ihan samalla tavalla kumpikin noista pääsee sen koneesi saastuttamaan. Selaimella toki se haitake pitää lataamisen jälkeen saada vielä jotenkin käynnistettyä, sähköpostista se saadaan kännistymään jo heti sen 1. klikkauksen jälkeen. Toki eri selaimissa on sitten ne omat potentiaaliset tietoturvareikänsä, jota kautta noita voi saada ujuteltua asiakkaalle jopa täysin ilman asiakkaan minkäänsortin osallistumista itse toimintaan, pelkkä sivun avaaminen jo riittää. Valmistajat luonnollisestikin juoksevat noiden perässä asap ja paikkaavat ne pois, mutta se vaatii jälleen sitä asiakkaan omaa aktiivisuutta pitää ne omat selaimensa up-to-date.

Surullista on se, että meillä edelleen on käytössä tämä muinainen verkkoarkkitehtuuri, jossa proaktiivinen palvelunestohyökkäysten torjunta ei ole mahdollista, vaan pitää vain reagoida jo alkaneeseen hyökkäykseen. Vielä surullisempaa on, ettei juuri kukaan ilmaise halukkuutta muuttaa tilannetta, ja päivittää internet parempaan tekniikkaan jossa palvelunestohyökkäyksiä ei olisi.

No kuinka kauan on ipv6 käyttönotossa jo kestänyt ja yhä ipv4 on sitä valtavirtaa, joten itse en uskalla kuvitellakaan millainen savotta se olisikaan panna koko systeemiä ihan uusiksi = tuskin toteutuu ikinä ja vaikka toteutuisikin, niin kyllä sieltäkin se murjake sen oman kikkansa taas löytää, miten pääsee taas niitä omia tihutöitään tekemään, täysin aukotonta järjestelmää kun ei ole olemassakaan - ja siitähän esim. allekirjoittanutkin on saanut sen leipänsä jo useamman vuosikymmenen ajan.

 

[tet]

No kuinka kauan on ipv6 käyttönotossa jo kestänyt ja yhä ipv4 on sitä valtavirtaa, joten itse en uskalla kuvitellakaan millainen savotta se olisikaan panna koko systeemiä ihan uusiksi = tuskin toteutuu ikinä ja vaikka toteutuisikin, niin kyllä sieltäkin se murjake sen oman kikkansa taas löytää, miten pääsee taas niitä omia tihutöitään tekemään, täysin aukotonta järjestelmää kun ei ole olemassakaan - ja siitähän esim. allekirjoittanutkin on saanut sen leipänsä jo useamman vuosikymmenen ajan.

Koko arkkitehtuurin muutos olisi iso asia, mutta toisi mukanaan toki paljon muutakin parannusta kuin vain tämän. Samalla kertaa voisi korjata kaikki muutkin vuotokohdat, joita IP-tekniikassa on kuin vanhuuttaan murkkeentuneessa pyöränkumissa.

Mutta jos keskityttäisiin pelkästään tähän DDoS-asiaan, niin sen voisi varmaan laittaa kuntoon myös IP-tekniikan päällä. Toki se vaatisi taas lisää purkkaa vanhan päälle, mutta olisi toteutettavissa. Jos paketit allekirjoitettaisiin avaimella, jonka salaisen osan tietäisivät vain keskustelun endpointit, ja jonka julkisen osan tietäisivät kaikki reitittimet, voisi paketin pudottaa roskiin millä tahansa reitittimellä, jos allekirjoitus ei täsmäisi. Toki kaikkea liikennettä ei voisi tällä suojata, mutta kaiken sellaisen, jossa palvelin luottaisi clientin päähän niin paljon, että antaisi sille tuon salaisen avaimen käytettäväksi. Tämä vaatisi varmaan uuden L4-protokollan nykyistä TCP:tä korvaamaan, jotta myös yhteyden kättelyvaihe olisi suojattu.

Tällä voisi suojata kaikki rekisteröityneiden käyttäjien yhteydet, eli kaikki yhteydet joissa endpointeilla on joku "sopimus" olemassa ennen yhteyden avausta. Vain "internetin ikkunaostoksille" pitäisi enää mennä perinteisellä tavalla, joten noita "näyteikkunoita" ei voisi DDoS-hyökkäyksiltä tällä tapaa suojata. Mutta vaikkapa nyt esimerkiksi verkkopankit olisivat suojassa, koska niihin ei tarvitse päästää yhteyksiä kuin pankin asiakkailta, joille allekirjoitusavain olisi siis jaettu ennen pankkiyhteyden käyttöä.

 

[HiTec]

No tuo kuvaamasi systeemihän noin periaatteessa on jo HTTPS, ei mitään sen ihmeellisempää (end-to-end salaus). Ja joku julkinen, kaikille avoin rajapinta sitä pitää pankeillakin olla, johon porukka sitten kirjaantuu sisään jne. Samaten heillä pitää olla julkiset sivustot infotakseen, mainostaakseen, itsestään kertoakseen. Elikkäs aikalailla nuo ihan samat mitä heillä on jo nyt, eikös. Routereiden tehtävä taasen on reitittää, ei ne niitä paketteja sen enempää availe mitä on ihan pakko oikeaan suuntaan sen paiskatakseen. Eli ei sitä liikennettä tuollakaan juuri filtteroida voi. Ja jos sitten puhutaan esim. julkkareiden välisistä yhteyksistä, niin ne on niin monikerroksisen sipulin takana jo nyt, että niihin on aika vaikea kenenkään ulkopuolisen alkaa pommittamaan, lipat pudottelee ne asiattomat paketit pois jo heti kättelyssä, ne systeemiin sen pidemmälle pääse sitä tukkimaan.

 

[Husky]

Ei tuossa juurikaan eroa ole, ihan samalla tavalla kumpikin noista pääsee sen koneesi saastuttamaan. Selaimella toki se haitake pitää lataamisen jälkeen saada vielä jotenkin käynnistettyä, sähköpostista se saadaan kännistymään jo heti sen 1. klikkauksen jälkeen. Toki eri selaimissa on sitten ne omat potentiaaliset tietoturvareikänsä, jota kautta noita voi saada ujuteltua asiakkaalle jopa täysin ilman asiakkaan minkäänsortin osallistumista itse toimintaan, pelkkä sivun avaaminen jo riittää.

Noniin2.
Tuo lihavoitu on kiinnostava ja erilailla kuin mitä palstalla sanottu kun pari kertaa kysellyt, sanotaanko 2v aikana.

Mutta olisiko näkökantoja/tietoa tähän hoeman eri asiaan nyt kun ollaan ytimessä: eikö niin että rikollinen ei kirjoita popuppiin "tämän avulla kaappaan koneesi" vaan lukee jotakin ihan muuta?

Kysymys liittyy siihen kun aina sanotaan että pitää "itse tietoisesti tumpeloida" eli että normijärki aina riittää.

 

[tet]

No tuo kuvaamasi systeemihän noin periaatteessa on jo HTTPS, ei mitään sen ihmeellisempää (end-to-end salaus). Ja joku julkinen, kaikille avoin rajapinta sitä pitää pankeillakin olla, johon porukka sitten kirjaantuu sisään jne. Samaten heillä pitää olla julkiset sivustot infotakseen, mainostaakseen, itsestään kertoakseen. Elikkäs aikalailla nuo ihan samat mitä heillä on jo nyt, eikös. Routereiden tehtävä taasen on reitittää, ei ne niitä paketteja sen enempää availe mitä on ihan pakko oikeaan suuntaan sen paiskatakseen. Eli ei sitä liikennettä tuollakaan juuri filtteroida voi. Ja jos sitten puhutaan esim. julkkareiden välisistä yhteyksistä, niin ne on niin monikerroksisen sipulin takana jo nyt, että niihin on aika vaikea kenenkään ulkopuolisen alkaa pommittamaan, lipat pudottelee ne asiattomat paketit pois jo heti kättelyssä, ne systeemiin sen pidemmälle pääse sitä tukkimaan.

Sinä kuvasit nyt, miten homma toimii nykyisin. Minä visioin, miten se voisi toimia.

HTTPS on sovellusprotokolla (L7), sillä homma ei toimi, koska yhteys kulkee jonkin neloskerroksen protokollan päällä (TCP tai QUIC). Noiden protokollien kättelyvaihe on se, johon DDoS-hyökkäys iskee. Hyökkäyspaketti on saatava roskiin jo ennenkuin mitään yhteyttä palvelimen ja hyökkäysbotin välille on kuljetuskerroksessa muodostettu. Palvelunestohyökkäyshän perustuu siihen, että massivisella liikenteellä pommitetaan palvelinta, jolloin se tukehtuu yhteyden avauspyyntöihin. Nämä on estettävä, jos hyökkäyksiä halutaan proaktiivisesti torjua.

Reitittimet eivät nykyisellään kurki verkkokerroksen (L3) yläpuolelle, mutta ei mikään estä etteivätkö ne niin voisi tehdä. Tässä lähestymistavassa olisi hyvää se, että jos jokin reititin ei hommaa osaa, niin se ei haittaa - paketti reitittyy eteenpäin normaalisti, vaikka olisikin hyökkäyspaketti. Mutta sitten kun se paketti matkallaan osuu reitittimeen, joka osaisi tuon neloskerroksen digitaalisen allekirjoituksen tarkistaa, luvattoman paketin matka tyssäisi siihen.

 

[tet]

Ja joku julkinen, kaikille avoin rajapinta sitä pitää pankeillakin olla, johon porukka sitten kirjaantuu sisään jne. Samaten heillä pitää olla julkiset sivustot infotakseen, mainostaakseen, itsestään kertoakseen. Elikkäs aikalailla nuo ihan samat mitä heillä on jo nyt, eikös.

Kyllä, nämä pitäisi olla, ja niitä ei voisi tällä tapaa suojata. Mutta sen tärkeimmän, eli verkkopankin ja mobiilipankin voisi. Niihin ei tarvitse laskea liikennettä sellaisilta käyttäjiltä, joilla ei ole tunnukset jo tiedossa ja luvat kunnossa.

 

[kotte]

Eikös tuollaisen varmistetun kuljetusprotokollakerroksen ylläpito muodostuisi globaalissa mittakaavassa jokseenkin ylivoimaiseksi tehtäväksi? Nytkin suuri osa ongelmasta johtuu siitä, että kansainvälisesti katsoen monien runkoverkkoreittimien ylläpito on aika retuperällä, eli paketteja reititetään ilman kontrollia sinne ja tänne riippumatta todellisista verkkotopologioista, kun moista pyydetään väärennetyillä lähtöosoitteilla. DNS-hyökkäisissäkin voi lähettäviä koneita olla hirmuinen määrä ympäri maailman eikä noiden koneiden tarvitse monta pakettia kunkin lähettää aiheuttaakseen kaaosta vastaanottopäässä. Pankkiinkin voi pyrkiä asiakkaita varsin eri puolilta maailmaa hoitaaksenn päivättäisiä raha-asioitaan, joten sallittujen ja varmistettujen osoitteiden karsinta on vaikea ja monipiippuinen kysymys.

Asianhan saa nykyisinkin kuntoon siinä vaiheessa, kun on loggauduttu verkkopankkiin, eli vahvan tunnistuksen jälkeen liikenne voidaan ohjata erikoispalvelimelle, jolle määrätään kullekin asiakkaalle äärimmäisen tiukat palomuurisäännöt. Haittaliikennettä ei tuon lävitse saa menemään, vaan palomuuri suodattaa kaiken asiaan kuulumattoman liikenteen pois. Verkkoyhteyden on tietenkin oltava riittävän järeä pääyhteyspisteeseen, jotta vaikkapa miljoonan yhtäaikaisesti aktiivisen ilkivaltaisen yhteydenottoaloituksen rypäs ei sanottavasti estä hyötyliikenteen välitystä roskan ohella. Jonnekin verkkoon tuollaisia pisteitä syntyy joka tapauksessa, ellei palata takaisin keskusjohtoiseen puhelinkeskusmaiseen maailmaan (jollainen lienee nykyisin monessakin mielessä epärealistinen tavoite).

 

[tet]

Eikös tuollaisen varmistetun kuljetusprotokollakerroksen ylläpito muodostuisi globaalissa mittakaavassa jokseenkin ylivoimaiseksi tehtäväksi?

Voi olla, että IP-tekniikalla homma kävisi liian raskaaksi. Siksi parempi vaihtoehto olisikin laittaa kaikki tunnetut perusongelmat kerralla kuntoon, ja vaihtaa koko roska. Mutta ehkä tämäkin homma jotenkin onnistuisi, kunhan infrastruktuuri on tarpeeksi sievennetty. Ajatus tähän tuli aika ex tempore, en ole tätä tarkemmin todellakaan pähkinyt. Täytyy pähkiä, mahtaisiko tuollainen purkkaviritys olla jotenkin järjellisesti toteutettavissa.

Pankkiinkin voi pyrkiä asiakkaita varsin eri puolilta maailmaa hoitaaksenn päivättäisiä raha-asioitaan, joten sallittujen ja varmistettujen osoitteiden karsinta on vaikea ja monipiippuinen kysymys.

Tuossa nyt ei ollut ajatuksena filtteröidä osoitteita mitenkään, vaan nimenomaan tarkistaa vain pakettien digitaaliset allekirjoitukset mahdollisimman monella reitittimellä matkan varrella. DDoS-hyökkäys ei ole ongelma vielä siellä lähtöpäässä, kun se lähtee hajautetusti ympäri maailman. Mutta kun se keskittyy aina vaan enemmän ja enemmän samoihin yhteyksiin, pyrkiessään siihen yhteen hyökkäyskohteeseen, kuormitus kasvaa palvelinta kohti mentäessä. Siksi mahdollisimman aikainen reagointi lähellä puppupakettien lähtöpäätä olisi se ratkaisu - ja nimenomaan automaattinen reagointi.

 

[kotte]

Tuossa nyt ei ollut ajatuksena filtteröidä osoitteita mitenkään, vaan nimenomaan tarkistaa vain pakettien digitaaliset allekirjoitukset mahdollisimman monella reitittimellä matkan varrella. DDoS-hyökkäys ei ole ongelma vielä siellä lähtöpäässä, kun se lähtee hajautetusti ympäri maailman. Mutta kun se keskittyy aina vaan enemmän ja enemmän samoihin yhteyksiin, pyrkiessään siihen yhteen hyökkäyskohteeseen, kuormitus kasvaa palvelinta kohti mentäessä. Siksi mahdollisimman aikainen reagointi lähellä puppupakettien lähtöpäätä olisi se ratkaisu - ja nimenomaan automaattinen reagointi.

Valitettavasti vain haittaliikenne ei tyypillisesti liene peräisin mistään "mustan verkon" erikoispalvelimista, vaan aivan tavallisten hyväuskoisten käyttäjien koneista, jotka ovat päässeet saastumaan altistuttuaan roistojen hyväksikäytölle tietämättömyyden, huolimattomuuden tai puutteellisen ylläpidon seurauksena. Jos tavalliset käyttäjät päästetään verkkoon, totta kai heille on tarjottava validit sertifikaatit pakettien lähettämiseksi. Liikenteen pitäisi joka tapauksessa päästä kulkemaan valideja topologisia reittejä ellei maailman verkkopalveluita ruveta (takaperoisesti?) karsinoimaan tavalla tai toisella. Jos operaattorit hoitaisivat oman tonttinsa kunnialla, moiset väärennetyt paketit suodatettaisiin jo operaattoreiden reitittimillä. Aika on paljon on vaadittu, jos käyttäjien pitäisi yleismaailmallisesti alistua moisen virtaalisesti varmistetun infrastruktuurin sääntöihin samalla, kun monet operaattorit elävät asian suhteen kuvainnollisesti kuin pellossa. Tuskin teknologian täydellinen uusiminen on ratkaisu, kun ongelma on alkujaankin organisatorinen.

 

[Ton1A]

No tuo kuvaamasi systeemihän noin periaatteessa on jo HTTPS, ei mitään sen ihmeellisempää (end-to-end salaus). Ja joku julkinen, kaikille avoin rajapinta sitä pitää pankeillakin olla, johon porukka sitten kirjaantuu sisään jne. Samaten heillä pitää olla julkiset sivustot infotakseen, mainostaakseen, itsestään kertoakseen.

Niin, kuten tuossa jo monesti sanottiin, niin ei pure DDoS jne. hyökkäyksiin. HTTPS sinänsä kyllä tukee mTLS:ää (mutual TLS), jossa kummankin osapulen pitää esittää sertifikaatti jonka sitten toinen osapuoli joko hyväksyy tai ei. Yleisesti on käytössä vain TLS, jossa serveripään pitää esittää serti, jonka allekirjoittajaan asiakaspää luottaa. Asiakaspään ei tarvitse esittää mitään todistetta identiteetistään jotta HTTPS toimisi TLS:n yli.

Eli jos nyt otetaan esimerkkinä vaikkapa yhteys OP:n verkkopankkiin

• https://op.fi esittää voimassaolevan sertin, jonka allekirjoittajana on 'Entrust Limited'
• Selaimen päässä 'Entrust Limited' on luotettu juurisertifikaatin myöntäjä
• Lopputuloksena selain luottaa siihen, että vastapää on op.fi, mutta OP:n puolella ei ole mitään tietoa siitä kuka on toisessa päässä

mTLS lisää tähän asiakaspään sertin, eli kummankin pään on luotettava toisiinsa ennenkuin yhteys voidaan muodostaa. Esimerkkinä sähköinen henkilökortti, joka siis sisältää DVV:n (Digi- ja Väestövirasto) myöntämän varmenteen. Tällöin serveripää voi pyytää, että 'annapa DVV:n allekirjoittama serti', eikä yhteys muodostu ilman sitä. Serveripää saa tällöin tiedon siitä kuka on toisessa päässä.

 

[Arisoft]

Mutta olisiko näkökantoja/tietoa tähän hoeman eri asiaan nyt kun ollaan ytimessä: eikö niin että rikollinen ei kirjoita popuppiin "tämän avulla kaappaan koneesi" vaan lukee jotakin ihan muuta?

Rikollinen laittaa ostamaansa mainokseen tai kaappaamalleen nettisivulle huomiota herättävän ilmoituksen tyyliin: "Tietokoneesi on hidastunut. Lataa päivitys tästä!" tai mitä tahansa vastaavaa, joka saa uhrin luulemaan että häneltä odotetaan toimenpiteitä. Ihmiset eivät aina osaa erottaa mainoksia tietokoneen antamista viesteistä. Ne saadaan hyvinkin hämäävän näköiseksi.

Nettisivulla kuitenkin homma kaatuu siihen että ohjelman lataaminen ei riitä. Se pitäisi muistaa vielä käynnistää. Usein näen tietokoneissa lataussivulla toistakymmentä kertaa ladatun jonkin tällaisen hömpän. Niin monta kertaa on käyttäjä siis yrittänyt tosissaan saada "päivityksen" tehtyä kunnes on luovuttanut.