www.archive-ee-2014.com » EE » R » RIA

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".

    Archived pages: 107 . Archive date: 2014-10.

  • Title: blog.ria.ee | RIA Blogi!
    Descriptive info: .. blog.. ria.. ee.. RIA Blogi!.. Menu.. Skip to content.. Home.. Shellshock saaga vahefinish.. Leave a reply.. By.. Tarmo Randel.. CERT-EE tegi pinnapealse skaneerimise riigivõrgule ja osale Eesti IP ruumile.. Tulemus – ei leidunud sobilikke hoste, kes oleks päringus tehtud palumise peale soostunud saatma ICMP pakette.. Kordame oma tegevust samas mahus sellel nädalavahetusel aga pisut muudetud.. päringuparameetritega.. Maailmas toimuvast on teada:.. -.. bash.. turvaviga kasutades on tekitatud botnette, seni teadaolevad “zombide” kontrollkeskuste IP d on 89.. 238.. 150.. 154, 162.. 253.. 66.. 76, 95.. 211.. 27.. 152 ja 185.. 31.. 209.. 84.. - haavatavaid servereid kasutatakse praegu rünnetes pastebin.. com.. (Cloudflare) ja US kaitseministeeriumi vastu.. - DHCP serveri kaudu on viga kasutades võimalik käivitada kliendi arvutis protsesse.. juurkasutaja õigustes.. - päris paljud tarkvaratootjad ei ole veel turvapaiku ilmutanud.. Mõned.. on suisa mitu paika järjest ilmutanud, sest esimene patch ei parandanud.. probleeme.. - mida aeg edasi, seda rohkem leiavad pahatahlikud üha rohkem “auke”,.. mille kaudu teha rünnet bash i viga ära kasutades.. Soovitusi infosüsteemide omanikele/haldajatele:.. - jälgige kasutatavate OSide uuenduste teateid.. - paigaldage turvapaiga ilmudes see niipea kui võimalik.. - vanade internetiga ühendatud süsteemide puhul üritage aru saada, kas bashi viga on võimalik ära kasutada iidamast-aadamast pärit veebirakenduse kaudu või mõnel muul moel.. - jälgige oma süsteemide perimeetril toimuvat, “tihendage” filtreid.. Jõudu!.. CERT-EE.. read more.. Source:.. Küberjutud.. Category:.. RIA küberkirjutised.. This entry was posted in.. RIA Küberjutud.. on.. September 26, 2014.. by.. ria.. Oluline paik süsteemidele, milles kasutusel “/bin/bash”.. Tähelepanu süsteemiadministraatorid!.. Kui haldad serverit, millele  ...   haavatavus, Linux, paik.. September 24, 2014.. Pahavara levitamine elron.. ee veebilehel.. 3 Replies.. RIA Küberkirjutised.. Pühapäeva pealelõunast esmaspäeva õhtuni jagati Elroni peamiselt veebilehelt www.. elron.. ee Astrum exploitkitiga “kingitusi” (pahavara).. Kes kasutas pahavara jaoks sobilikku tarkvarakomplekti lehe külastamisel, osutus kvalifitseeruvaks ja sai sealt suunamise IP-le 46.. 105.. 233.. 200 porti 6219.. Järgnes suure tõenäosusega nakatumine.. Nakatavast.. tegelasest endast saab lugeda.. SIIT.. Tavakasutaja, kes külastas sel ajavahemikul Elroni veebilehte, võiks oma arvuti turvatarkvaraga täiendavalt üle kontrollida.. Pahavara levitamiseks kasutati neid haavatavusi:.. - Adobe Flash (CVE-2014-0515, CVE-2013-0634).. - MS Silverlight (CVE-2013-0074, CVE-2013-3896).. - Adobe PDF (CVE-2010-0188).. - IE = 9 (CVE-2013-2551).. - IE 10 Flash = 13.. 0.. 214 (CVE-2014-0322).. - Java (CVE-2012-0507, CVE-2013-2460, CVE-2013-2465).. Tuvastussoovitus süsteemiadministraatoritele:.. kui Sinu võrgus on arvuti, mis pöördus IP-aadressi 46.. 200 porti 6219, tee sellele tööjaamale täiendav kontroll.. Antud juhul.. ei ole võimalik kindlalt öelda, mis pahavara täpselt arvutisse sokutatakse.. Näpunäiteid veebilehe pidajatele, kuidas sarnast juhtumit tulevikus vältida:.. - hoia lahus veebilehe admin osa veebilehest endast.. - haldamine peab toimuma krüpteeritud kanalite kaudu.. - haldusliidele ligipääs peab olema võimalik ainult asjakohastele.. IPdele ning keelatud teistele.. - varunda regulaarselt andmeid!.. September 17, 2014.. Post navigation.. Older posts.. Search for:.. Recent Posts.. OWASP – ega ometi o-herilane?.. Ameerika Ühendriikide kolm seadust küberjulgeoleku valdkonnas.. Recent Comments.. Kati Tamm on.. Suured ja väikesed vargad on.. hmm on.. Archives.. September 2014.. July 2014.. June 2014.. May 2014.. April 2014.. Categories.. RIA aastakonverents 2014.. Meta.. Log in.. Entries.. RSS.. Comments.. WordPress.. org.. Proudly powered by WordPress..

    Original link path: /
    Open archive

  • Title: Shellshock saaga vahefinish | blog.ria.ee
    Descriptive info: Leave a Reply.. Cancel reply.. Your email address will not be published.. Required fields are marked.. *.. Name.. Email.. Website.. Comment.. You may use these.. HTML.. tags and attributes:.. a href= title= abbr title= acronym title= b blockquote cite= cite code del datetime= em i q cite= strike strong..

    Original link path: /?p=152
    Open archive

  • Title: RIA Küberjutud | blog.ria.ee
    Descriptive info: Category Archives:..

    Original link path: /?cat=2
    Open archive
  •  

  • Title: ria | blog.ria.ee
    Descriptive info: Author Archives:..

    Original link path: /?author=1
    Open archive

  • Title: Oluline paik süsteemidele, milles kasutusel “/bin/bash” | blog.ria.ee
    Original link path: /?p=151
    (No additional info available in detailed archive for this subpage)

  • Title: Pahavara levitamine elron.ee veebilehel | blog.ria.ee
    Descriptive info: 3 thoughts on.. hmm.. September 17, 2014 at 3:18 pm.. Nakatavast tegelasest lugema suundudes annab Avast sellise tagasiside.. Infection blocked.. URL.. hxxp://malware.. dontneedcoffee.. com/feeds/posts/default?alt=json v=2 dynamicviews=1 orderby=published max-results=25 published-max=2014-01-27T18%3A44%3A59.. 999Z|{gzip}.. Infection.. JS:ScriptSH-inf [Trj].. Reply.. Kati Tamm.. September 18, 2014 at 9:41 am.. Tegemist on valepositiivse tagasisidega.. Suured  ...   irooniline, et selle pahavara saamiseks peab kasutaja eelnevalt ise kasutama Microsofti ja Adobe pahavara.. Kui inimeste isikuandmeid varastavad suured korporatsioonid PRISM-programmi raames, siis huvitaval kombel pole tegemist kuriteoga? Väikesed taskuvargad pannakse vangi, ent suured pangaröövlid mitte? Hea küll, siit ka soovitus algajatele petistele: kui varastad, siis varasta massiivselt..

    Original link path: /?p=141
    Open archive

  • Title: blog.ria.ee | RIA Blogi! | Page 2
    Descriptive info: CERT-EE infoturbe ekspert Triin Nigul tuletab veebilehtede arendajatele, haldajatele ja omanikele meelde, et veebide turvalisuse tõstmiseks pole vaja jalgratast leiutada.. Viimasel ajal meedias ohtralt kajastust leidnud andmelekete valguses on õige aeg kõnelda internetiturvalisusest veidi teise nurga alt kui tavalise arvutikasutaja vaatevinklist.. Peaasjalikult räägin siin kirjutises veebilehtede turvalisusest.. Nagu paljudes teisteski valdkondades, ei ole siingi põhjust hakata jalgratast leiutama.. OWASP.. (.. Open Web Application Security Project.. ) peaks olema tuntud igale (veebi)arendajale ja -haldajale, sest tegemist on üleilmselt tuntud ja tunnustatud (mittetulundusliku) organisatsiooniga.. Teiste kiiduväärt, tarkvara turvalisust edendavate tegevuste seas peab.. nimekirja veebirakenduste kasutamisega seotud ku mnest suuremast turvaohust.. Alljärgnevalt lähemalt.. A1 – Süstimisrünne (ka süst,.. Injection.. ).. Süstimisno rkused (nt.. SQL injection.. ) esinevad, kui käsku vo i päringut on vo imalik pahaloomuliselt täiendada.. Ründaja lisatud sisu vo ib sundida käivitama soovimatuid käske vo i vo imaldada volitamata ligipääsu andmetele.. A2 – Autentimis- ja sessioonihalduse vead (.. Broken Authentication and Session Management.. Autentimis- ja sessioonihaldus ei ole sageli korralikult rakendatud, vo imaldades ründajatel näpata salaso nu, vo tmeid vo i sessioonitunnuseid, vo i rakendusvigu konfidentsiaalsete andmete teadasaamiseks ära kasutada.. A3 – Murdskriptimine (.. Cross-Site Scripting – XSS.. XSS vead esinevad juhul, kui rakendus kuvab veebilehitsejas infot ilma korraliku valideerimise vo i tagasilükkamiseta.. XSS vead lasevad ründajatel ohvri veebilehitsejas käivitada skripte, mis vo imaldavad kasutajasessioone üle vo tta, veebilehti näotustada vo i kasutaja pahaloomulisele veebilehele ümber suunata.. A4 – Objektide ebaturvaline otseviitamine (.. Insecure Direct Object References.. Objekti otseviitamine esineb, kui arendaja jätab avalikuks viite mo nele sisemisele rakendusdokumendile, nagu fail, kaust vo i andmebaasi vo ti.. Ilma ligipääsukontrolli vo i muu to kketa vo ivad ründajad neid viiteid töödeldes andmetele volitamata ligi pääseda.. A5 – Vigased turvaseaded (.. Security Misconfiguration.. Heatasemeline turvalisus no uab turvalise seadistuse määratlemist, paigaldamist ja haldamist nii rakenduses, raamistikus, platvormis, rakendus-, veebi- ja andmebaasiserveris.. Vaikimisi seaded on tihti ebaturvalised.. Veebisaitidel kasutatakse mitmesugust esitlus- jm tarkvara.. Kui tarkvara on kehvasti seadistatud vo i uuendamata, vo ib süsteemile ligi saada turvaauke ära kasutades.. Tarkvara pidev uuendamine on kohustuslik.. A6 – Tundliku info kaitseta jätmine (.. Sensitive Data Exposure.. Paljud veebirakendused ei kaitse tundlikku infot,.. Foto: USA Esindajatekoda.. RIA küberturvalisuse teenistuse õigusspetsialist Jana Orlovski annab ülevaate sel suvel Ameerika Ühendriikides vastu võetud kolmest olulisest küberjulgeoleku tagamist reguleerivast seadusest.. 28.. juulil võttis USA esindajatekoda vastu kolm küberjulgeoleku valdkonna seadust: riikliku küberjulgeoleku ja kriitilise infrastruktuuri kaitse seaduse (“.. The National Cybersecurity  ...   Esindajatekoja esimehe.. Michael McCauli sõnul.. võib edukas küberrünnak gaasijuhtme-, vee- või naftasüsteemi vastu põhjustada olulist majanduslikku kahju ja maksta isegi inimelusid: “Reaalsus on see, et küberoht on jõudmas ette meie valmisolekust sellega võidelda.. Aeg on tegutseda ning riiklik küberjulgeoleku ja kriitilise infrastruktuuri kaitse seadus on oluline samm selle suunas”.. Riikliku küberjulgeoleku ja kriitilise infrastruktuuri kaitse seadust (“CIRDA Act”) tutvustati esmakordselt 2013.. aasta detsembris ning see on neist kolmest kõige olulisem.. Seaduse.. September 10, 2014.. Tehisintellekt ja tehnoloogiline singulaarsus.. Rauno Veri.. Riigi Infosüsteemi Ameti arendus- ja uurimistegevuse osakonna juhataja Priit Roosimägi arvates võib tehisintellekti kontrollimatu arendamise ja arenguga saabuda tehnoloogiline singulaarsus, mis võib seada kahtluse alla inimkonna tuleviku.. Selle vältimiseks tuleb saavutada tehisintellektiga rahulik ning vastastikku kasulik kooseksisteerimine.. „.. No sensible decision can be made any longer without taking into account not only the world as it is, but the world as it will be.. This, in turn, means that our statesmen, our businessmen,.. our everyman must take on a science fictional way of thinking.. – Isaac Asimov, 1978.. Tehisintellekt ja meediakajastus.. 8.. juunil 2014 ilmus The Telegraphis.. artikkel.. , milles väideti, et Londoni.. Royal Society.. s läbis „superarvuti“ „maailmas esmakordselt“ nn.. Turingi Test.. i, mis oli korraldatud.. Readingi Ülikooli.. professori.. Kevin Warwicki.. juhtimisel.. Artikkel tekitas küllalt palju kõmu nii tehisintellektiga (.. artificial intelligence, AI.. ) tegelevates ringkondades kui laiemalt tavameedias.. Ei läinud aga palju aega, kui nimetatud „saavutus“ akadeemilises ringkonnas ja AI-spetsialistide poolt kahtluse alla seati (.. artikkel 10.. juuni The Telegraphis.. ,.. 11.. juuni The Guardianis.. 12.. juuni Business Insideris.. jne).. Küsimusi on tekitanud nii testi korralduslikud küljed kui väide, et taoline test on arvuti poolt läbitud „esimest korda“.. Üldjoontes tundub, et tegemist oli Kevin Warwicki järjekordse.. publicity stunt.. -iga, mille eesmärk oli enda tegemistele üldsuse tähelepanu tõmmata.. 2002.. aastal sai sama mees näiteks kuulsaks sellega, et istutas oma kehasse mikroskeemi, mis ühendati tema närvisüsteemiga.. Selle kaudu oli tal võimalik liigutada Readingu Ülikoolis asuvat robootilist kätt.. Nii või teisiti näib, et teatud eesmärgi see pressiteade täitis.. Viimase kuu-poolteise jooksul on tavameedias senisest enam lahatud tehisintellekti temaatikat: juureldud selle üle, mis see AI ikkagi on, kui kaugel ollakse.. tõelise AI.. leiutamisega, kes selle arendamisega tegelevad ning mis võiksid olla selle leiutamise pikemaajalised tagajärjed.. Teemad, mis iseenesest pole ju uued, kuid arvestades tehnoloogia arengut ning viimase aja märksõnu nagu „.. Big Data.. “, „pilveteenused“ jne, on.. July 18, 2014.. Newer posts..

    Original link path: /?paged=2
    Open archive

  • Title: OWASP – ega ometi o-herilane? | blog.ria.ee
    Original link path: /?p=140
    (No additional info available in detailed archive for this subpage)

  • Title: Ameerika Ühendriikide kolm seadust küberjulgeoleku valdkonnas | blog.ria.ee
    Original link path: /?p=136
    (No additional info available in detailed archive for this subpage)

  • Title: September | 2014 | blog.ria.ee
    Descriptive info: Monthly Archives:..

    Original link path: /?m=201409
    Open archive

  • Title: July | 2014 | blog.ria.ee
    Descriptive info: Cyber Europe 2014.. Riigi infosüsteemi turbe talituse peaspetsialist Urmo Sutermäe kirjutab kevadisest Euroopa küberõppusest.. Cyber Europe on üle-euroopaline küberõppus, mida liikmesriigid planeerivad ja korraldavad üle kahe aasta.. Viimati toimunud Cyber Europe 2014 õppuse planeerimisega alustati 2013.. aasta aprillis.. Sel korral oli õppus juhtimistasandite alusel jaotatud kolme erinevasse faasi: tehniline, operatsiooniline ja strateegiline.. Intsidentide eskaleerumine järgmisele tasandile ja nende lahendamine toimus erineval ajal.. – 29.. aprillil toimunud Cyber Europe 2014 tehnilise taseme õppusel osales 20 liikmesriiki, Euroopa infoturbe ja küberkaitse organisatsioonid, samuti Island ja Norra.. Kokku oli õppusega seotud üle 670 inimese, rohkem kui 200 asutusest.. Õppuse koordineerimine toimus ENISA kontorist Ateenas, kus asus õppuse kontrollkeskus.. Õppuse juhtimiseks kasutati uut spetsiaalselt küberõppuste tarvis loodud platvormi, mis võimaldab osalejatel valida osalemise tempo ja aja ning viibida õppuse ajal oma töökohal.. Nagu ka eelneval kahel korral (st Cyber Europe 2010 ja 2012) oli ka seekord õppuse eesmärk harjutada koostööd suuremahuliste küberintsidentide lahendamisel.. Intsidendid hõlmasid elutähtsate teenuste ja infrastruktuuri turvalisust.. Samuti on eesmärk harjutada koostööd ja informatsiooni vahetamise protseduure organisatsioonide vahel ning testida siseriiklikuid hädaolukorraplaane ja oskusi.. Võrreldes eelnevate kordadega oli õppus seekord märkimisväärselt suurem, nii skoobi kui ka keerukuse poolest.. Toimunud õppus oli sisult tehniline ja pakkus osalejatele võimalust lahendada kokku 16 erinevat turvaintsidenti/ülesannet.. Kahe päeva jooksul paluti neil uurida ja analüüsida sündmuseid, mis võivad mõjutada nende asutuse andmete konfidentsiaalsust ja terviklikkust või tundliku infotmatsiooni kättesaamist või kriitilist infrastruktuuri ka reaalses elus.. Eestist osales Cyber Europe 2014 tehnilisel õppusel 9 meeskonda ja 34 inimest 6 erinevast asutusest.. RIA täitis õppusel planeerija, moderaatori, riikliku kontaktisiku, mängija  ...   tegema neist kvartalikokkuvo tteid.. Kokku teavitasid riigiasutused RIAt möödunud aastal 135 intsidendist.. Ko ige enam raporteeriti käideldavusintsidente.. Vähem anti teada tervikluse ja konfidentsiaalsusega seotud juhtumitest.. Kuigi suhtlus riigiasutuse infoturbejuhtidega oli pidev ning info olulisematest intsidentidest jo udis RIAni ka enne määruse jo ustumist, on määrusepo hine raporteerimine süsteemi märgatavalt korrastanud, samuti annab see vo imaluse pöörata senisest suuremat ro hku intsidentide mo jule.. Mitmed teated o ngitsuskampaaniatest, nakatunud veebilehtedest ja teenuste ru ndamisest pärinesid 2013.. aastal (ko rg)koolidest: toimus vähemalt seitse kampaaniat haridusasutuste vastu, tülitati ka lasteaedu.. Tähelepanuva a rne oli ka juhtum, kus häkiti haridusasutuse telefonisüsteemi ja tehti sadu kaugeko nesid.. Uudne oli nn ko ngitsemislaine – o ngitsemine telefoniko nede abil.. End Microsofti esindajana tutvustanu ärgitas pahaaimamatuid arvutikasutajaid internetist alla laadima programmi ja/vo i avaldama paroole, mis annaksid petturile ligipääsu ohvri arvutile ja sealtkaudu pangakontole.. Küberohtude ennetamisel pööras RIA ka eelmisel aastal palju tähelepanu koolitustele, rahvusvahelistele kübero ppustele, riigiasutuste ja eluta htsate teenuste süsteemide läbistustestidele.. Oluline verstapost oli järjekordse.. krüptograafiliste algoritmide elutsükli uuringu valmimine.. See tuletas mustvalgel meelde, et Eestis tuleb la hema 2–5 aasta jooksul vahetada välja mitmed krüptolahendused, mis on kasutusel ka näiteks digi-IDs, m-IDs ja enne 2011.. a välja antud ID-kaartides.. O iguslikus raamistikus oli oluline.. aastal algatatud korrakaitseseaduse muutmise ja rakendamise seadus.. Vastavalt nendele muudatustele la heb Tehnilise Järelevalve Ameti järelevalvepädevus sidevo rkude ja -teenuste turvalisuse üle RIA-le.. Sama eelno uga sätestatakse RIA järelevalvepädevus ka hädaolukorra seaduses ja avaliku teabe seaduses.. Muudatus jo ustus 1.. juulil 2014.. Raport on suunatud küberturvalisust tagavatele ning.. July 4, 2014..

    Original link path: /?m=201407
    Open archive



  •  


    Archived pages: 107