Tietoturvareikä Windows Media Playerissa

Pisterajan alittavia kommentteja piilossa.

Minua on aina ihmetyttänyt kun "yritykset" löytävät näitä reikiä. Mitä tämäkin hra. Pynnönen tekee töikseen kun hän "sattui" löytämään tällaisen tietoturvareiän Media Playerista? Miksi yritys on hänet palkannut...tutkimaan MS:n bugisia tuotteita? Tuskin. Kertokaa.

No tämä herra on Suomen ehkä tunnetuin ex-kräkkeri, koodinimeltään TCB. Hän murtautui 1997-1998 yli sataan yritysten (mm. Nokia) ja yhteisöjen järjestelmään. Tuomio oli 5kk ehdonalaista. Hän oli jo tuolloin Online Solutionsin työntekijänä.

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 14:47:24	Pisteet: 0

No tämä herra on Suomen ehkä tunnetuin ex-kräkkeri, koodinimeltään TCB. Hän murtautui 1997-1998 yli sataan yritysten (mm. Nokia) ja yhteisöjen järjestelmään. Tuomio oli 5kk ehdonalaista. Hän oli jo tuolloin Online Solutionsin työntekijänä.

Kiitos paljon tiedosta. En ollut tiennyt tätä aikaisemmin. Tarkistin asian vähän kyselemällä ja tarkistamalla faktoja (esim. että TCB oli ITViikon mukaan "jyväskyläläisnuorukainen" ja että Online Solutionsin osoite on jyväskylässä)

Mistä muuten sait tämän tietoosi? Eikö aineistoa määrätty salaiseksi?

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 15:27:09	Pisteet: 0

Mistä muuten sait tämän tietoosi? Eikö aineistoa määrätty salaiseksi?

Kyllä kai Suomessa ainakin tuomion saaneiden nimet on julkisia. Itseasiassa tuo nimi löytyy esim. #linux.fi:n käsitetietokannasta (peelokanta):

http://www.linuxfi.org/kasitteet/?huoneentaulu=tcb

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 20:07:53	Pisteet: 0

Mistä muuten sait tämän tietoosi? Eikö aineistoa määrätty salaiseksi?

Kyllä kai Suomessa ainakin tuomion saaneiden nimet on julkisia. Itseasiassa tuo nimi löytyy esim. #linux.fi:n käsitetietokannasta (peelokanta):
http://www.linuxfi.org/kasitteet/?huoneentaulu=tcb

tuolta sen itsekin tarkistin. (sivu löytyy googlella helposti)
tarkoitin vain, että olitko lukenut jostain lehdestä vai kuulut joltain, koska tuo oli mielestäni ainoa sivu, jonka löysin, eli sitä ei ole "virallisesti" julkistettu, vai onko?

	Re: reiän löytäjä Anonyymi kommentoija, 9.5.2003 10:34:21	Pisteet: 0

http://www.linuxfi.org/kasitteet/?huoneentaulu=tcb

tuolta sen itsekin tarkistin. (sivu löytyy googlella helposti)
tarkoitin vain, että olitko lukenut jostain lehdestä vai kuulut joltain, koska tuo oli mielestäni ainoa sivu, jonka löysin, eli sitä ei ole "virallisesti" julkistettu, vai onko?

No itse tuon tiedon olen saanut "muuta kautta", ei siitä sen enempää. En tiedä kuinka yleisesti oikeaa nimeä on kerrottu, suurimmassa osassa artikkeleita taisi tosiaan olla vain tyyliin "Jyväskyläläinen yliopisto-opiskelija" yms.

Pisterajan alittavia kommentteja piilossa.

Minua on aina ihmetyttänyt kun "yritykset" löytävät näitä reikiä. Mitä tämäkin hra. Pynnönen tekee töikseen kun hän "sattui" löytämään tällaisen tietoturvareiän Media Playerista? Miksi yritys on hänet palkannut...tutkimaan MS:n bugisia tuotteita? Tuskin. Kertokaa.

Paha sanoa mitä online-solutionsin nykyiseen toimenkuvaan kuuluu, ainakaan kotisivujen 'ajankohtaista' osiossa ei ole viimeisen parin vuoden aikana mitään muuta kuin 'MSn tuotteessa X oli reikä'. Sivuilla kyllä mainitaan omia tuotteita mutta niihin ei vissiin ole mitään uutta tullut pariin vuoteen - tai sitten ne eivät ole vain uutisoinnin arvoinen juttu.

Aikoinaanhan Online Solutions oli 941-alueella pyörineen Communications Bug-purkin ylläpitoporukka - ja kun internet alkoi olemaan The Juttu, Solutions toimi pitkään ISPnä. Saunalahti käsittääkseni osti yksityisasiakkaitten ISP-puolen ja yritysasiakkaatkin poistuivat tai lopetettiin jonkin aikaa sen jälkeen.

Pineapple

Minua on aina ihmetyttänyt kun "yritykset" löytävät näitä reikiä. Mitä tämäkin hra. Pynnönen tekee töikseen kun hän "sattui" löytämään tällaisen tietoturvareiän Media Playerista? Miksi yritys on hänet palkannut...tutkimaan MS:n bugisia tuotteita? Tuskin. Kertokaa.

Kyseinen henkilö tekee arvaukseni mukaan kehitystä tälle alustalle työkseen ja harrastuksenaan varmaan kaivelee vähän tarkemmin asioita ja tutkii miten homma todellisuudessa toimii. Tämä on tosiaan minun arvaukseni. Tuommoiset julkistuksethan tuovat sitten frmalle halpaa näkyvyyttä laajalti medioissa, joten työntekijälle on luvassa tuollaisesta löydöstä aika varmaan jonkin pieni boonus ja se toimii houkuttimena etsiä näitä reikiä. Solutions on tuottanut joitain tietoturvaa auttavia systeemeitä ja siten tuommoiset heidän löytämänsä reiät ovat todella osuvaa julkisuutta, vaikka eivät suoranaisesti niin tärkeitä ja toimialaan kuuluvia olisikaan.

Voisin kuvitella tuommoisten aukkojen etsimisen erittäin hyväksi myös työntekijän viihtyvyyden ja virkeyden kannalta, semmoisen löytämisestä saa aika varmaan kunnon onnistumisen tunteen. Tuommoinen "minä vastaan iso yritys" tilanne on todella hienon tuntuinen piristys rutiineihin. Pieni vapaus, tutkimus ja etsiminen on kuitenkin se jolla työpaikalla ja harrastuksissa pysyy kivasti mielenkiinto yllä.

Minua on aina ihmetyttänyt kun "yritykset" löytävät näitä reikiä. Mitä tämäkin hra. Pynnönen tekee töikseen kun hän "sattui" löytämään tällaisen tietoturvareiän Media Playerista? Miksi yritys on hänet palkannut...tutkimaan MS:n bugisia tuotteita? Tuskin. Kertokaa.

Ei välttämättä tutkimaan juuri MS:n bugisia tuotteita, mutta jos katsotaan minkä tahansa nyyssi ryhmän maileja niin vähän väliä tämä Jouko Pynnönen lähettelee bugi raportteja niihin, mm. redhatin nyyssiryhmissä vaikuttava hra. Pynnönen on avuliaasti paljastanut useita reikiä. Ja saanen huomauttaa että tälläisiä aukkoja voi löytää ihan tavallinen käyttäjäkin, niin kuvitelkaa sitten käyttäjää joka osaa hommansa ja tietää mistä etsiä.

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 21:23:21	Pisteet: 0

Jouko Pynnönen lähettelee bugi raportteja niihin, mm. redhatin nyyssiryhmissä vaikuttava hra. Pynnönen on avuliaasti paljastanut useita reikiä.

Mistähän mahtanee johtua, että näitä hänen redhatin uutisryhmään lähettämistään reijistä/bugeista ei tule yhtä isoja otsikoita esim. sektoriin, kuin Microsoftin vastaavista?

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 21:52:11	Pisteet: +1

Jouko Pynnönen lähettelee bugi raportteja niihin, mm. redhatin nyyssiryhmissä vaikuttava hra. Pynnönen on avuliaasti paljastanut useita reikiä. Mistähän mahtanee johtua, että näitä hänen redhatin uutisryhmään lähettämistään reijistä/bugeista ei tule yhtä isoja otsikoita esim. sektoriin, kuin Microsoftin vastaavista?

Mr. Pynnönen on löytänyt exploitteja myös Apache Tomcatista, IMP:stä, Netscapesta ja monesta muusta softasta. Miksi näistä IE-exploiteista uutisoidaan ei ole mitenkään sektorimainen ilmiö. Jos katsot vähänkin tarkemmin, saman uutisen löydät DigiTodaysta ja IT-viikostakin -- ja näitä saitteja ei varmasti voi kutsua Windows-vastaisiksi. Lieköhän tuo uutiskynnyksen ylittäminen johtuisi siitä, että 2/3 ihmisistä käyttää surffilautanaan IE:tä ja aika monelle se Internet Explorer on yhtä kuin Internet.

	Re: reiän löytäjä Anonyymi kommentoija, 9.5.2003 07:37:37	Pisteet: 0

iksi näistä IE-exploiteista uutisoidaan ei ole mitenkään sektorimainen ilmiö. Jos katsot vähänkin tarkemmin, saman uutisen löydät DigiTodaysta ja IT-viikostakin -- ja näitä saitteja ei varmasti voi kutsua Windows-vastaisiksi.

Tätä en tarkoittanutkaan.

Lieköhän tuo uutiskynnyksen ylittäminen johtuisi siitä, että 2/3 ihmisistä käyttää surffilautanaan IE:tä ja aika monelle se Internet Explorer on yhtä kuin Internet.

Eli ei siis mikään ihme, että jokainen peelo pitää Linuxia bugittomana ja reijättömänä 8. ihmeenä, kun bugeja yms. ei uutisoida.

	Re: reiän löytäjä Anonyymi kommentoija, 9.5.2003 16:17:00	Pisteet: 0

Eli ei siis mikään ihme, että jokainen peelo pitää Linuxia bugittomana ja reijättömänä 8. ihmeenä, kun bugeja yms. ei uutisoida.

Menee offtopic, mutta mielestäni on turha surra sitä, että muilta puuttuu lähdekritiikkiä tai jos joku uskoo, että vain uutisoitavat asiat ovat olemassa (ja kaikki uutisoitava on totta, varsinkin jos se on painettu paperille). Voi kun peruskouluun (tai lukioon?) saataisiin mediakritiikin kurssi. Toisaalta, jokainen voi omalla kohdallaan tehdä asialle jotain. Paras paikka alkaa muuttaa maailmaa on oma itse, se kun on kaikkein lähinnä...

	Re: reiän löytäjä Tirppa, 9.5.2003 09:58:08	Pisteet: 0

Eli ei siis mikään ihme, että jokainen peelo pitää Linuxia bugittomana ja reijättömänä 8. ihmeenä, kun bugeja yms. ei uutisoida.

Jep, samaa olen ihmetellyt. Linuxin kernelistä löytyvät bugit jotka esimerkiksi mahdollistavat local-usereiden saada root-oikeudet/salasanat löytyy kyllä. Tällä hetkellä ei taida olla vakaan kehityssarjan kerneliä jossa ei olisi ptrace bugia? Linuxia pidetään taivaan lahjana tietoturvalle, mutta aina saa olla jotain ACL tai jotain muita viritelmiä vääntämässä, että saa yönsä nukkua rauhassa.

Ylipäänsä tietoturva nykyään on ihan yhtä paskan kanssa käsite. Aina joku tyhmä script-kiddie tai über-elite kräkkeri murtaa jonkun todella tärkeän saitin kuten nintendo.com ja vaihtaa etusivuksi omat gr33ttinsä kräkkeri-peelo-kavereilleen. Eli pelkästään "mainetta" tavoitellaan defacettamalla ja roottaamalla toisten bokseja. Vittu murtautuisvat sit johonkin mistä sais rahaa ja jättäis tollaset saitit rauhaan. Rupee tuntumaan siltä, että en lähdekkään opiskelemaan tietotekniikkaa vaan lastentarhanopettajaksi. PRKL!

</avautuminen>

Sen tarkemmin todellisuutta tietämättä lähden minäkin heittämään MuTu -pohjaista arviota siitä, miksi juuri Online Solutions on tehnyt näitä löytöjä.

Otetaanpa lainaus suoraan Online Solutionssin index-sivulta:
"Online Solutions Oy on Jyväskyläläinen tietoturvan asiantuntijayritys. Yritys on erikoistunut Internet-verkkojen ja sovellusten tietoturvaan."

No, tämä jo itsessään kertoo paljon yrityksen toimialasta, sen tehtävänä välillisesti on tuollaisiin ohjelmallisiin epäkohtiin puuttua, eritoten kun kyseessä on ohjelmistotuotteita, jotka ovat maailmanlaajuisesti hyvin laajasti levinneitä.

Ei itseasiassa olisi mikään ihme, jos Microsoft olisi Online Solutionssin asiakas, ja tämä herra Pynnönen olisi palkattu yritykseen nimenomaan tutkimaan MS:n tuotteita ja niiden tietoturvallisia ominaisuuksia.
Uskoisin nimittäin, että Microsoftilla on huomattava määrä tällaisia "äänettömiä" ammattilaisia tutkimassa tuotteitaan ja raportoimassa niistä löytyviä onglemia.

Noniin... Ehkäpä taas lopetan tämän salaliittoteorian paisuttamisen ennenkuin se karkaa käsistä :)

--
whoooops
"My opinions may have changed, but not the
fact that I am right." --Ashleigh Brilliant

	Re: reiän löytäjä Anonyymi kommentoija, 8.5.2003 10:18:19	Pisteet: 0

Ei itseasiassa olisi mikään ihme, jos Microsoft olisi Online Solutionssin asiakas, ja tämä herra Pynnönen olisi palkattu yritykseen nimenomaan tutkimaan MS:n tuotteita ja niiden tietoturvallisia ominaisuuksia.

No ei varmasti ole, niin monta kertaa on Solutionsin ja MS:n sukset olleet ristissä aukkojen ilmoituksen suhteen.

	Re: reiän löytäjä setae, 8.5.2003 12:31:32	Pisteet: +1

Otetaanpa lainaus suoraan Online Solutionssin index-sivulta: "Online Solutions Oy on Jyväskyläläinen tietoturvan asiantuntijayritys. Yritys on erikoistunut Internet-verkkojen ja sovellusten tietoturvaan."

Olisit nyt vielä lisännyt tämän:

"lisäksi konsultoimme ja auditoimme olemassaolevia tietoturvatekniikoita ja toteutuksia."

Täysin tuulesta temmattuna uskoisin, että juuri tälläistä auditointia ja aukkojen etsintää asiakkaiden ohjelmistoyhdistelmistä he etsivät - ja mikäpä sitä paremmin julkisuutta toisi, kuin tunnetun ja laajasti käytetyn (vakiona asennetun) ohjelman tietoturva-aukon löytäminen?

Tietoturvareikä Windows Media Playerissa

Microsoft julkisti kolme vakavaa Windowsin tietoturvareikää

Microsoft julkaisi nipun tietoturvapäivityksiä

Microsoft paikkasi Windowsin tietoturvareikiä

Microsoftilta joukko tietoturvapäivityksiä

Suomalainen Online Solutions löysi jälleen IE:stä tietoturva-aukon