Suomeksi / Finnish Jos näette tämän viestin, niin Teillä on todennäköisesti myös ongelmia tämän sivun ulkoasun kanssa (CSS-tyylitiedosto). Ongelman voi korjata tyhjentämällä/poistamalla väliaikaiset internet-tiedostot ja evästeet internet-selaimestanne. Pahoittelemme häiriötä.

English If you can see this message, you probably have problems with the appearance of this internet-page (CSS-problems). For correction, please clean/delete your temporary internet-files and cookies from the browsers memory. Thank You.

               Ei vielä käyttäjätunnusta?
Torstai
Mar 20
2008
20:01
E-Commerce Finland 3.0 Beta

Sähköisen kaupan palvelukeskus - E-Commerce Service Centre of Finland
 
Home Olet täällä: Etusivu arrow Etusivu arrow Turvallisuus
Turvallisuus
 
Varoitukset
140/2008: Haavoittuvuus SSH-protokollassa SSH, eli Secure Shell, on protokolla jonka avulla käyttäjät voivat muodostaa turvallisen, salatun yhteyden internetin yli. Sen avulla voidaan esimerkiksi suorittaa komentoja etäjärjestelmässä ja siirtää tiedostoja tietokoneelta tai palvelimelta toiselle. Protokollaa tukevia palvelin- ja asiakassovelluksia, eli server ja client -sovelluksia, on saatavilla useimmille käyttöjärjestelmille. SSH on korvannut käytännössä telnetin ja ftp:n jotka lähettävät muun muassa kirjautumistiedot eli tunnuksen ja salasanan selkokielisenä. SSH-protokollasta on löytynyt suunnitteluvirheestä johtuva protokollatason haavoittuvuus. Protokolla määrittelee paketin pituuden 32-bittiä pitkässä kentässä. Kenttää käytetään määrittelemään kuinka paljon tietoa pakettia kohden odotetaan, joten kentän sisältämän tiedon salaus pitää purkaa ennenkuin loput paketista on vastaanotettu ja viestin eheyden tarkistuksessa käytettävä MAC-koodi (Message authentication code) voidaan tarkistaa. Syöttämällä kohteelle lohkollinen salattua tietoa SSH-paketin ensimmäisenä osana, hyökkääjä voi saada SSH-palvelimen kohtelemaan tuloksena saatavaa selkokielistä tekstiä uuden paketin ensimmäisenä osana. Hyökkääjä voi sen jälkeen syöttää SSH-yhteyteen satunnaisia lohkoja salattua tietoa ja päätellä kuinka paljon tietoa tarvitsee lähettää ennenkuin palvelin päättelee koko paketin vastaanotetuksi ja lopettaa vastaanottamisen tuottamalla MAC-virheen. Virheilmoituksen laukaisemiseen tarvittava määrä tietoa paljastaa tällöin 32-bittisen paketin pituus -kentän sisällön. Lohkosalaimissa käytettyjen Cipher block-chaining (CBC) -tilan ominaisuuksien vuoksi tämän 32-bittisen kentän arvo paljastaa myös saman mittaisen osan lähetetystä paketista selkokielisenä. Lohkoja tarvitsee kuitenkin lähettää SSH-yhteyteen palvelimen toteutuksesta riippuen huomattavia määriä ennenkuin MAC-tarkistus käynnistyy. Lue lisää... [Turvallisuus]
    139/2008: Safari-selaimen versio 3.2 korjaa useita haavoittuvuuksia Apple on korjannut Safari-selaimessa yhteensä 11 haavoittuvuutta. Kaikki haavoittuvuudet liittyvät Windows-käyttöjärjestelmien Safari-selaimiin. Haavoittuvuuksista neljä koske myös Mac OS X -käyttöjärjestelmän Safaria. Applen päivitykset sisältävät korjauksia kolmannen osapuolen kirjastoihin (zlib, libxslt, libTIFF ja ImageIO). Lisäksi korjauksen saavat CoreGraphics, WebCore sekä WebKit. Useat haavoittuvuudet ovat hyväksikäytettävissä sillä, että hyökkääjä onnistuu houkuttelemaan käyttäjän tietyllä tavalla muotoillulle www-sivulle. Lue lisää...
      138/2008: Mozilla Firefox, SeaMonkey ja Thunderbird -ohjelmistoissa haavoittuvuuksia Mozilla-ohjelmistoissa on löytynyt useita haavoittuvuuksia. Firefox 2 -selainta on paikattu yhdentoista haavoittuvuuden edestä. Kuusi haavoittuvuutta on luokiteltu kriittisiksi. Firefox 3 sekä SeaMonkey -selaimista on korjattu kymmenen haavoittuvuutta, joista viisi on luokitukseltaan kriittisiä. Myös Thunderbird-sähköpostiohjelmasta on löytynyt kuusi haavoittuvuutta, osa kriittisiä. Haavoittuvuudet mahdollistavat käyttövaltuuksien laajentamisen, luottamuksellisen tiedon hankkimisen sekä selainten kaatamisen. Kaatumisen yhteydessä hyökkääjällä voi olla mahdollista suorittaa järjestelmässä omia komentojaan. Mozilla suosittelee JavaScript-tuen sammuttamista kunnes päivitykset on asennettu. Tämä koskee erityisesti Thunderbird-sähköpostiohjelmistoa, johon ei vielä ole saatavilla korjaavaa ohjelmistopäivitystä. Thunderbird-sähköpostiohjelmiston JavaScript-tuki ei oletusarvoisesti ole kytketty päälle. Lue lisää...
        137/2008: Microsoft julkaisi kaksi ohjelmistopäivitystä Microsoft on julkaissut marraskuun ohjelmistopäivitykset. Toinen päivityksistä on luokiteltu kriittiseksi, toinen tärkeäksi. Kriittiseksi luokiteltu päivitys korjaa kerralla useita Microsoft XML Core Services -komponenteissa havaittuja haavoittuvuuksia. Haavoittuvuudet mahdollistavat komentojen mielivaltaisen suorittamisen tai luottamuksellisen tiedon hankkimisen jos hyökkääjä onnistuu houkuttelemaan käyttäjän tietyllä tavalla muotoillulle www-sivulle. Päivitys koskee sekä Windows-käyttöjärjestelmän että Office-ohjelmistopaketin eri versioita. Tärkeäksi luokiteltu päivitys liittyy Windows-käyttöjärjestelmän tapaan käsitellä käyttöoikeuksia SMB-protokollan (Server Message Block) yhteydessä. Haavoittuvuus antaa hyökkääjälle mahdollisuuden uusiokäyttää käyttöoikeuksia ja tällä tavoin suorittaa kohdejärjestelmässä omia komentojaan. Tämän päivityksen asentaminen vaatii järjestelmän uudelleenkäynnistyksen. Lue lisää...
Turvallisuus
Tietoturvakatsaus 1/2008

CERT‑FI:n tietoon tuli tapaus, jossa sivullinen onnistui tekemään tilisiirtoja verkkopankkiyhteyden aikana käyttäjän sitä havaitsematta. Toistaiseksi suomalaisiin pankkeihin kohdistuvat hyökkäykset ovat olleet yksittäisiä tapauk­sia.

CERT-FI julkaisi joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä haavoittuvuuksia. Tietoja pakataan tai arkistoidaan lähes kaikissa sovelluksissa, joten haavoittuvuudet vaikuttavat moniin eri käyttöjärjestelmiin ja ohjelmistoihin. Haavoittuvuuksia voidaan luonnehtia kokonaisuutena merkittäviksi.

Julkisuuteen tuli lukuisia cross site scripting -tyyppisiä haavoittuvuuksia monilta suosituilta suomalaisilta www-sivustoilta. Tällaiset haavoittuvuudet eivät mahdollista palvelimelle murtautumista, mutta niitä voidaan käyttää huijausyrityksiin tai www-sivustojen omistajan maineen vahingoittamiseen.

Lue lisää...
    Luottokunta varoittaa sähköpostihuijauksista Viime aikoina on jälleen ollut liikkeellä harhauttavia sähköpostiviestejä, joissa yritetään saada vastaanottaja antamaan luottokorttitietonsa. Tällaisia huijaussähköposteja kutsutaan nimellä "phishing" ja niille tunnusomaista on jäljitellä todellisten yritysten ja tunnettujen tuotemerkkien yhteystietoja ja niiden nimissä urkkia ihmisten henkilökohtaisia tietoja, esim. henkilötietoja, luottokorttinumeroita ja korttien tunnuslukuja. Lue lisää...
      Tupas-standardi Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.

      Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
        Tupas-standardi Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.

        Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
 
Turvallisuus seuranta
Google neuvoo valtioita kehittämään yksityisyyslakeja Googlen ongelmana on, ettei suurimmassa osassa maista ole lainkaan yksityisyyttä suojaavia lakeja, sanoo Peter Fleischer, Googlen yksityisyysasiantuntija. Googlen arvostelun hän kääntää kehuksi sanoen, että kriitikot vain ovat tottuneet odottamaan Googlelta aina parasta. Lue lisää...
 


Esittelyssä jäsen

Smilehouse Oy


Haluaisitteko logonne tähän?

Kiitämme yhteistyöstä ja avusta

Tietosuojavaltuutetun toimisto

top top
Etusivu | Esittely | Käyttöehdot | Rekisteriseloste | Mediatiedot

This New service is still in the Beta testing stage, so we are sorry for any possible errors and problems.

This service is produced with the cooperation and support of Electronic Commerce Association of Finland.

Any reference to Third-Parties does not constitute or imply its endorsement or recommendation by Us or Our partners.

We provide information and links from or to other sites solely for the convenience of the users, and we are not responsible for the content of those sources or sites.

Service © 2000 - 2008 E-FINLAND.org. All rights reserved. | Production © by E-Finland Network Ltd | Hosting by Kotisivut.com

Creative Commons License
If no other mention, this work is licensed under a Creative Commons Attribution - Noncommercial - No Derivative Works 1.0 License, but
the copyright of information to which this service links or directly refer remain allways with the original owners.

RSS 2.0 Our site is valid CSS Our site is valid XHTML 1.0 Transitional

Generated in 0.17782 Seconds