Diary – päivyri

16.1.2022

Hetki tämän softan tietoturvaa hahmottavan dokumentin parissa, mahtava musiikki soimassa. Aloitin dokumentin vuonna 2017. Se on ollut pöytälaatikko-lopputyönä tietotekniikasta. Tykkään joka tapauksessa tutkia ja kirjoittaa tietoturvasta, joten palaan aina ajoittain päivittämään ideoita. Pyrin siis tuossa mallintamaan sitä, paljonko tietoturva lopulta maksaa, ja onko mahdollista tehdä sellainen projektinjohtomalli tietotekniikkafirmoissa, jossa tietoturva saa heti kättelyssä riittävän painoarvon.

15.1.2022

Pakkaset pyörii varsin siedettävän tienoilla, eli siinä -4..-5 asteessa. Tuli luettua tunti myynnin ja markkinoinnin kirjaa, ensi viikolla lähtee nide takaisin kotiinsa kirjastoon. Paikallisessa on ollut tosi hyviä uutuuksia. Odotan, että pääsen käymään myös Laurean kirjastossa. Se on nyt toistaiseksi (jälleen pandemian rajoitukset päällä) ainoita osia Laureasta joka on auki.

10.1.2022

Intensiiviviikon eli täysipainoisen opiskeluviikon eka päivä. Loistavasti toimii yhteydet. Työkaluina on Zoom (videokonferenssiohjelma), läppäri ja webcam. Nyt on siirrytty ammattikorkeakouluissa etäopiskeluun, per viimeisin koronapandemiaan liittyvä päätös, joka on tehty menneellä viikolla.

5.1.2022

Aloituspäivä tradenomin opinnoille. Heräsin, ja hieman haeskelun jälkeen kaiken kaikkiaan 5 tuntia Zoom-videokonferenssissa aivan mainio tutorointi koko aloittavalle ryhmälle. Meitä on noin 90, joista monimuotoisessa opetuksessa ehkäpä puolet. Aloitan itse monimuotoisessa, eli en ole ns. päiväopiskelija.

15.12.2021

Katselen Javaa myös eri silmällä, nimittäin nyt on maailmalla iskenyt Log4J
2.x vulnerability. Munkkilatinaa? Suomeksi sanottuna
Log4J2 -ongelmassa kyseessä on iso turvahaavoittuvuus hyvin yleisessä käytössä
olevassa apukirjastossa. Tuo kirjasto on siis Log4J 2 -versio (kakkosversio,
parannettu painos ensimmäisestä). Nyt on löytynyt bugi siinä kohtaa, missä
pitäisi ohjelmassa turvata se, että JNDI-haun antama dynaaminen palvelu
eli java-koodin pätkä on todellakin asianmukainen. On käynyt ilmi, että
JNDI-haku voidaan itse asiassa jopa ohittaa suoraan antamalla ns. paikallinen
parametri, joka hakkerien antamana sisältää siis yleensä jonkinlaista
payloadia — eli haittakoodia. Toisinsanoen, jos Java-pohjaisella serverillä
on ajossa (käytössä) Log4J 2.0.0 tai 2.14.x versioon asti (jokin näistä
välissä olevista versioista), on mahdollista hyökätä serverille siten
että kyseisen palvelinprosessin valtuuksilla hyökkääjä pääsee suorittamaan
haluamaansa Java-koodia. Java on tavukoodattua (binääriä), mutta se ei
muuta tilannetta – olennaisesti kyseessä on täysi RCE eli remote code
execution. Tästä syystä CVSS -pisteiksi tuli myös täysi 10 kyseiselle
Log4J 2 -haavoittuvuudelle.

Log4J on varmaan miljoonissa servereissä käytössä, eikä sen asennuksesta ole aina kovin paljoa tietoakaan. Kävi ilmi joulukuun 2021 paikkeilla, että Log4J on haavoittuvainen pahimmalla mahdollisella tavalla: RCE – remote code execution on mahdollista.

Asiaa on verrattu HeartBleediin. HeartBleedissä aikoinaan pienen pieni käteväksi tarkoitettu lisätoiminnallisuus (eli yhteyden katkaisemattomuus, joka tuo mukanaan sen, että TCP setup / teardown ei turhaan kuormita ja aiheuta latenssia web-yhteyksiin) palvelinkoodiin aiheuttikin pahan reiän; bugin avulla mikä tahansa client pystyi pakottamaan serverin paljastamaan suoraan RAM-muistiansa aina 64 kilotavua (65536 tavua) kerrallaan. Vaikka HeartBleedissä tuo kyseinen serverin paljastama muistialue tuli aina satunnaisesti jostain päin RAM-muistia, niin kun riittävän kauan pumppaa, tilastollisesti voidaan siis todeta että “ei hyvä” tietoturvan kannalta. Riippuen satunnaisuuden lopullisesta lähteestä kyseisessä tilanteessa, lopputulos on joko täyttä sprayta (satunnaista) tai gaussitusta, kun ajattelee hyökkääjän kannalta todennäköisyyttä saada hyödyllistä dataa ulos serveriltä.

Kyberturvallisuuskeskus on uutisoinut Log4J2 eli Log2Shell -aiheesta:

11.12.2021

Kävely, kirjastoon lukemaan. Agile UX meni kivasti eteenpäin. Tein paperiproton AnX:stä.

12.5.2021

Intensiivinen toinen päivä, kun tein melkein pelkästään WordPress -lisäosan käännöstä: Tänään sain 100% käännettyä MailPoet 3 englannista suomeksi! Käytin tähän jo legendaarista POEdit -softaa. Se on loistava käännösohjelma. Käännösmuisti ja automaattiset ehdotukset pilvestä auttavat rutkasti käännösten tekemisen nopeudessa ja tarkkuudessa. Mahtava fiilis!

Illasta lenkki, 4km. Ensimmäinen hellepäivä kuulemma tälle vuodelle! Linus tuli koulusta ja sanoi että nyt olisi pitänyt olla kyllä mukana kunnolla juotavaa pullossa. Äkkiä vichyä ja niinpä oli nuorimies tyytyväinen, mielipuuhassaan rakentamassa Legoa loppuun.

6.5.2021

Kaksi kertaa ulkoilua, ensin oma lenkki ja sitten poikien kanssa futista. Friends and Brgrs avasi ovensa Hyvinkään Willa-ostoskeskuksessa.

5.4.2021

3.4.2021

Luin Cristian Mihain postauksen bloggaamisen saloista vuonna 2021. Erittäin hyvä! Uskon tähän kirjoitukseen.

1.4.2021

Sain Linkedin -badgen Google Analyticsistä. Kova pakerrus. Outoa että meni läpi, koska monimutkaisin juttu mitä oikeasti olen kädet-savessa GA:lla tehnyt, on suurin piirtein cut’n paste Urchin (GA) -koodi kiinni johonkin blogiin. Into heräsi uudelleen sen myötä! Työkalu on legenda. Kuitenkin haluan olla hyvin tarkka lukijoiden yksityisyyden suojasta. Haluan opiskella kunnolla ennenkuin virittelen enempiä.

21.2.2021

Lykkäsi kelit plussan puolelle. Ulkona pulkkamäessä, oli tosi kivaa! Sunnuntaita. Pistin jatkaen myös Aaro Vakkurin yhdeksättä kirjaa, “Totuuspeli”-romaania. Kirja on tosi viehättävä omalla tavallaan.

19.2.2021

Talvilomat alkavat, 1 viikko. Kirjoitin tänään spontaanisti koodia, NodeJS:n päällä eli JavaScriptiä. Teen serveripuolta pieneen peliin, “Kubicles“. Pelissä, vaikka se vielä hakee aika lailla muotoansa, on tarkoitus toimia IT-rekrynä, ja yritän tehdä samalla tekniikkatestejä, joita tarvitaan jaetun tilan luomiseen serverillä. Idea että hostaan serverin Digital Oceanin alustalla (pieniä halpoja VPS:iä eli virtualisoituja Linuxeja), ja frontend koodi eli pelin pelaajalle päin näkyvä osa latautuu myös serveriltä aina kun pelaaja haluaa pelata. Vielä useita yksityiskohtia auki, mutta siinäpä nälkä kasvaa syödessä. Huomaan että projektista toiseen oikeastaan koskaan aivan heti etukäteen ei ole sellaista kristallinkirkasta kuvaa tehtävistä piirteistä. Se on eriskummallinen tunne, hieman kuin magiaa, voi myös olla vain kokemattomuuttakin – mutta ketterää!

4.1.2021

Teknovelhon kirjoittelu jatkuu. Pojat mäessä, Stiga mukana ja talvi tuntuu vetävän puoleensa! Mainiota! Nyt keskityn puhtaasti yhteen asiaan: kirjoitan! Sekin on oma juttunsa, nimittäin jos jokin tätä maailmaa riivaa,
se on loppumaton multitaskauksen helppous. Keskittyminen on käsittämättömän tärkeä taitolaji. Kirjoittaminen tuntuu tällä hetkellä edelleen haastavalta; mutta se vetää puoleensa, joten pistän urun auki (urku auki?) ja/tai väännän nupit kaakkoon tekstin tuottamisen suhteen.

The journeylist is my term for what I stand for: a traveling journalist. Not that media people would not ordinarily travel around to get a scoop, but I think that’s the way that I’ve been for most of my adult life: on the move. I love discovering new things, taking some fresh air even in the midst of autumn rain, and I certainly love pondering on what I’ve seen with a hot cup of coffee and some music. But the nature of a journeylist takes him also to ad-hoc situations, often in the middle of silicon: people, cables, processors, tech, ideas – enthusiasm! That’s what being a journeylist is all about.

It’s not about fulfilling a compulsory slot in the calendar. I like to think more like being the chance pair of eyes connected to a brain. Being useful to my readers while uncovering interesting things is my ultimate drive.

YT making a refuel to a supposedly white car.
Thailand_River_Kwai_bridge

Up: River Kwai Bridge in Thailand.

Below: consuming Mana potions from a geeky webshop.

Mana Potion

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: