Tietoturvauutiset ja blogipostaukset

[ztec]

Kun vuotoja on jatkuvasti eri toimijoilla, sopii todella huonosti mukaan kuvaan, jollei käyttäjä voi itse päättää edes itse tuottamastaan sisällöstä.

Tämä, mutta on hyvä muistaa, että dataa joka on kerran jaettu, ei saa mitenkään (varmasti) koskaan pois. Eihän tässä mitään uutta sinänsä ole. Ihan peruste, riippumatta siitä mitä ohjelmaa, palvelua tai alustaa käytetään. Siinä onkin GDPR miettimistä kerrakseen, jos sattuu osumaan skouppiin.

En tiedä onko tämä oikea lanka tälle, en kyllä kesinyt parempaakaan. Tämä on nimenomaisesti loistava blogikirjoitus tietoturva-aiheesta:

Cyber Security: A Pre-War Reality Check - Bert Hubert's writings

This article is part of a series on (European) innovation and capabilities. This is a lightly edited transcript of my presentation today at the ACCSS/NCSC/Surf seminar ‘Cyber Security and Society’. I want to thank the organizers for inviting me to their conference & giving me a great opportunity...

berthub.eu

Mikä parasta / pahinta? Se on täsmälleen samoilla linjoilla, mitä olen itse jauhanut vuosikausia kyllästymiseen asti. Mutta mua pidetään aina vaan paranoidina foliohattuna. Kuitekin näitä uutisia on nähty, että talot jäätyy ja lämmitys ei toimi, kun pilvipalvelussa on joku häiriö. Mutta en nyt ala paasaamaan kuluneista itsestäänselvyyksistä uudelleen. Artikkelista voi lukea nuo näkemykset. Huoltovarmuus olisi ollut myös lähellä aihetta ja suhteellisen sopiva lanka, mutta se on ehkä turhan vakava näkemys tähän. Ihan vaan yleisestä suunnasta on kyse.

 

[huglo]

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen uutiskoosteessa linkki, jossa käyty läpi tuota xz/liblzma kuviota.

Daily NCSC-FI news followup 2024-03-31

xz/liblzma: Bash-stage Obfuscation Explained

gynvael.coldwind.pl

Summary
Someone put a lot of effort for this to be pretty innocent looking and decently hidden. From binary test files used to store payload, to file carving, substitution ciphers, and an RC4 variant implemented in AWK all done with just standard command line tools. And all this in 3 stages of execution, and with an "extension" system to future-proof things and not have to change the binary test files again. I can't help but wonder (as I'm sure is the rest of our security community) – if this was found by accident, how many things still remain undiscovered.

Lukaisin tuon ja joo, emmä tiijä miten näitä softien skriptejä kuuluu tehdä, mutta väkisin tulee mieleen...

gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'
...
gl_path_map='tr "\t \-_" " \t_\-"'

että jos tällainen tyyli on normimeininkiä, tai tällaista sallitaan päästä ns. tuotantoon, tai tällaista otetaan vastaan joltain githubin käyttäjältä kun ei sitten lopulta kuitenkaan ihan 100 prosenttisesti ymmärretä mitä se tekee, niin siinä on kyllä resepti katastrofille valmiina.

 

[kaakau<"'\\/>]

Lukaisin tuon ja joo, emmä tiijä miten näitä softien skriptejä kuuluu tehdä, mutta väkisin tulee mieleen...

gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'
...
gl_path_map='tr "\t \-_" " \t_\-"'

että jos tällainen tyyli on normimeininkiä, tai tällaista sallitaan päästä ns. tuotantoon, tai tällaista otetaan vastaan joltain githubin käyttäjältä kun ei sitten lopulta kuitenkaan ihan 100 prosenttisesti ymmärretä mitä se tekee, niin siinä on kyllä resepti katastrofille valmiina.

Se kuka tuon haitakkeen teki oli muistaakseni tuossa vaiheessa saanut jo ylläpitäjän luottamuksen ja oikeudet lisätä koodia ilman, että ylläpitäjä sitä tarkisti. Luottamuksen saamiseen taisi mennä ainakin vuosi.

 

[juhaa]

Hieman isompi määrä jos totta.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

www.cyberdaily.au

 

[Lars_A]

Hieman isompi määrä jos totta.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

www.cyberdaily.au

Eikös EU ollut mahdollista mätkiä kohtalaista sakkoa näistä? Jos 500m tiedot meni niin vaikea uskoa et tietoturva ihan kunnossa

 

[escalibur]

Microsoftin kyseenalaisesta Recallista tullaan mahdollisesti kuulemaan vielä lisää:

Kevin Beaumont (@GossiTheDog@cyberplace.social)

I got ahold of the Copilot+ software. Recall uses a bunch of services themed CAP - Core AI Platform. Enabled by default. It spits constant screenshots (the product brands then “snapshots”, but they’re hooked screenshots) into the current user’s AppData as part of image storage. The NPU...

cyberplace.social

Ilmeisesti Recall käyttää paikallista SQL Litea joka ei ole salattu, koska ”BitLocker hoitaa”.

 

[mikajh]

Eikös EU ollut mahdollista mätkiä kohtalaista sakkoa näistä? Jos 500m tiedot meni niin vaikea uskoa et tietoturva ihan kunnossa

Nyt ticketmaster.fi vaatii lisäämään puhelinnumeron, että pääsee edes kirjautumaan (että voivat vuotaa senkin), kun haluaa katsoa mitä tietoja siellä tilillä onkaan
Onneksi sentään vanhan generoidun salasanan sai vaihdetuksi uuteen, ennen kuin tili on limbossa

Ohjeissa "Voit myös lähettää meille pyynnön, että poistamme tiedoistamme kaikki sellaiset käyttäjätilisi, jotka eivät ole enää käytössäsi. Löydät ohjeet käyttäjätilin poistamiseen kunkin maan sivuston tietosuojakäytännöistä."
Mutta myös: https://help.ticketmaster.fi/hc/fi/articles/360020020714-Haluan-poistaa-käyttäjätilini-ja-tietoni-Miten-tämä-onnistuu
"Huomaathan, että poistettua tiliä ei voi aktivoida myöhemmin uudestaan eikä kyseiseen käyttäjätiliin liitetyllä sähköpostiosoitteella voi luoda uutta käyttäjätiliä Ticketmasterille."
VMP

 

[arthur3.0]

Hieman isompi määrä jos totta.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

Hackers claim Ticketmaster/Live Nation data breach, more than 500m compromised

An infamous hacking collective claims to have 1.3 terabytes of customer data stolen from the entertainment giant, as Home Affairs confirms it is on the case.

www.cyberdaily.au

Liittyneekö tähän, kun Ticketmaster.fi kehotti "on aika vaihtaa salasanasi" kirjautuessani tänään

 

[user9999]

Daily NCSC-FI news followup 2024-06-04 sähköpostissa seuraava.

361 million account credentials leaked on Telegram: Are yours among them?

361 million account credentials leaked on Telegram: Are yours among them? - Help Net Security

A trove of 361 million email addresses has been added to Have I Been Pwned. Check whether your account credentials have been compromised.

www.helpnetsecurity.com

Telegram Combolists and 361M Email Addresses

Last week, a security researcher sent me 122GB of data scraped out of thousands of Telegram channels. It contained 1.7k files with 2B lines and 361M unique email addresses of which 151M had never been seen in HIBP before. Alongside those addresses were passwords and, in many cases, the

www.troyhunt.com

361 million stolen accounts leaked on Telegram added to HIBP

A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised.

www.bleepingcomputer.com

 

[user9999]

911 S5 -bottiverkossa tuhansia suomalaisia IP-osoitteita mukana. Kaappaukset ovat tapahtuneet haitallisten VPN-palveluiden avulla. Yhdysvaltain oikeusministeriö ja kansainväliset kumppanit purkivat 911 S5 -bottiverkon toukokuun lopussa 2024.

911 S5 -bottiverkossa tuhansia suomalaisia IP-osoitteita mukana | Kyberturvallisuuskeskus

Toukokuussa 2024 suljettu 911 S5 -bottiverkko tarjosi rikollisille pääsyn vaarantuneisiin IP-osoitteisiin ja niihin liittyviin yksityishenkilöiden ja yritysten omistamiin laitteisiin. Joukossa on ollut myös tuhansia kaapattuja laitteita, joiden IP-osoite sijaitsee Suomessa. Kaappaukset ovat...

www.kyberturvallisuuskeskus.fi

Haitalliset VPN-sovellukset, jotka luovat yhteyden 911 S5 -bottiverkkoon:

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

US dismantles 911 S5 botnet used for cyberattacks, arrests admin

The U.S. Justice Department and international partners dismantled the 911 S5 proxy botnet and arrested 35-year-old Chinese national YunHe Wang, its administrator, in Singapore.

www.bleepingcomputer.com

 

[pulatunnus]

Haitalliset VPN-sovellukset, jotka luovat yhteyden 911 S5 -bottiverkkoon:

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

Linkissä oli ohjeita Windows laitteelta ohjelman poistoon, niin pitäisikö päätellä että haiteko oli Windows versioissa, ei muissa ?

 

[user9999]

Linkissä oli ohjeita Windows laitteelta ohjelman poistoon, niin pitäisikö päätellä että haiteko oli Windows versioissa, ei muissa ?

Koskee vain Windows laitteita. Noissa linkeissä ei ole mainittu muita.

 

[ztec]

Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:

First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission

After Sunday‘s European elections, the EU is planning to reintroduce indiscriminate communications data retention without suspicion and force manufacturers to allow law enforcement access to digital devices such as smartphones and cars. This is the “confidential” 42-point plan compiled by a “high-le

www.patrick-breyer.de

Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.

Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laitojen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.

 

[Algron28]

Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:

First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission

After Sunday‘s European elections, the EU is planning to reintroduce indiscriminate communications data retention without suspicion and force manufacturers to allow law enforcement access to digital devices such as smartphones and cars. This is the “confidential” 42-point plan compiled by a “high-le

www.patrick-breyer.de

Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.

Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laiotjen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.

Eikohan tässäkin käy niinkuin muussakin internetin rikoksentorjunnassa. Tavallista kansaa kytätätä turhaan kalliilla ja epäkäytännöllisellä prosessilla kun ne todelliset rikolliset porskuttavat menemäään entiseen tyyliin pimeän verkon puolella. Suojatyöpaikkoja luodaan, pikkusieluisit byrokraattinatsit tuntevat olonsa turvalliseksi ja voimaantuneeksi, poliitikot taputtavat toisiaan hymyillen selkään aina kun joku satunnainen tapaus jää kiinni kuvasta jonka lääkäri oli etädiagnoosia varten pyytänyt lapsesta ottamaan. Sitten jossain vaiheessa joku keksii että tällä systeemillä voidaan etsiä helposti myös muutakin materiaalia mitä yhteiskunta milloinkin näkee olevan sille uhaksi.


Jos jotain tämmöistä tulisi laajassa kaavassa käyttöön, varsinkin tuo viranomaisten yleisavain, olisin kyllä niin iloinen että jos rikollisryhmä tai valtiollinen toimija saisi sen murrettua ja lamautettua tällälailla kaikki älylaitteet EU:n alueella, siinähän opittaisiin sitten.

 

[pulatunnus]

Koskee vain Windows laitteita. Noissa linkeissä ei ole mainittu muita.

Kiitos.
Koska suoraan osoitettiin tietynnimisiä sovelluksia niin vähän hämmentää, onko kyse siitä että nimestä huolimatta sovelluksilla ei ole mitään tekoa toistensa kanssa (ja tuon bottiverkonkanssa), tosin silloin luulisi myös mainittavan ettei ole.
, uutisen jälkeen nuo nimet ei kovin myyviä. Jos taasen tehtailtu uutisointien jälkeen, niin menee varmaan ei luotavvan listalla vahvalla syyllä.

 

[kaakau<"'\\/>]

Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:

First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission

After Sunday‘s European elections, the EU is planning to reintroduce indiscriminate communications data retention without suspicion and force manufacturers to allow law enforcement access to digital devices such as smartphones and cars. This is the “confidential” 42-point plan compiled by a “high-le

www.patrick-breyer.de

Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.

Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laiotjen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.

En jaksa uskoa, että menee tällaisena läpi jos ollenkaan. Näitä tuntuu tulevan tasaiseen tahtiin aina silloin tällöin EU:lta. Huolestuttavaa kyllä, että on edes tällaisia aikomuksia.

 

[pulatunnus]

Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:
https://www.patrick-breyer.de/en/fi...-surveillance-plan-for-the-new-eu-commission/

Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.

Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laiotjen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.

Tuo oli EU säädäntöä, (viranomaisten pääsyn lisäystä tiettyjen palveluiden tietoihin) muistaakseni aiheesta on foorumilla kirjoiteltu jossain päin, ja olikos kotimaistakin artikkellia linkattu.

En myöskään keksinyt oikein sopivaa hakusanaa (en löytänyt haulla), mikäs tuon virallinen nimitys on, ei tainnut linkissä olla brysselin linkkejä.

 

[ztec]

En myöskään keksinyt oikein sopivaa hakusanaa (en löytänyt haulla), mikäs tuon virallinen nimitys on, ei tainnut linkissä olla brysselin linkkejä.

Tässä se viralinen EU:n linkki ja niiden materiaali:

High-Level Group (HLG) on access to data for effective law enforcement

The High-Level Group (HLG) on access to data for effective law enforcement explores any challenges that law enforcement practitioners in the Union face in their daily work in connection to access to data and potential solutions to overcome them.

home-affairs.ec.europa.eu

Mutta tuohan on hukutettu tuollaiseen hallinnolliseen jargoniin. Sen näkee mitä siitä seuraa jatkossa. Kuten sanottu, koskee toisia ja ei koske niitä jotka asiaa haluaa kiertää.

Sama ongelma oli tuon kanssa, koitin kovasti hakea olisiko aiheesta mitään keskustelua aikaisemmin. Koska tämä tällaisena ikuisuusaiheena on vähän huono tähän lankaan floodaamaan. Lisäksi olisi hyvä jos aiheen viestit olisi omassa langassaan helpomman selattavuuden vuoksi. Lisäksi tässä vaiheessa tämähän menee politiikan eikä tekniikan puolelle.

 

[Infy]

Tästä EU:n muutoksesta ihan hyvää tiivistelmää:

Messaging and Chat Control

The End of the Privacy of Digital Correspondence The EU decided to let providers search all private chats, messages, and emails automatically for suspicious content - generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance by means of fu

www.patrick-breyer.de

On tuosta EU:n viestien skannailusta keskusteltu täällä jo vuosia sitten.

 

[Pah0lain3]

Avoimen koodin kehittäjien palvelusta löytyi kasoittain haittakoodia

Tarkempi tutkimus paljasti, että Microsoftin ylläpitämässä VSCode Marketplacessa tarjotaan tuhansia haitallisia lisäosia tai laajennuksia, joita on jo ladattu miljoonia kertoja.

www.mikrobitti.fi

Tarkempi tutkimus paljasti, että Microsoftin ylläpitämässä VSCode Marketplacessa tarjotaan tuhansia haitallisia lisäosia tai laajennuksia, joita on jo ladattu miljoonia kertoja.

Kuinkahan paljon sitä vielä oikeasti löytyy eri linux distroistakin vaan vielä...Onko nyt tuudittauduttu ajatukseen että kyllä joku sen avoimen koodin läpi käy joskus ainakin ja ei viitsitä sen enempää tarkastella vaan luotetaan sokeasti kehittäjiin? Tuo kysymys mulla on siitä xz haittakoodi episodista saakka pyöriny mielessä. En sen enempää tosta kehityspuolesta tiedä, mutta jos ajatellaan vaikka Aur paketteja Arch linuxilla niin onko siellä edes väkeä lukemassa tuhansia koodirivejä ennen julkistusta esimerkiksi vai käydäänkö näitä jotenkin tietyn väliajoin läpi tälläisten xz- vahinkojen estämiseksi? Ei varmaan millään linux distrolla ole tuollaiseen resursseja...

Manjaro väki luottaa että kyll Arch väki hoitaa koodit kuntoon, ja Arch väki luottaa ettei joukosta löydy velmuilujoita? Ei se varmasti ihan noin yksinkertaista ole.

 

[Agent_007]

Tarkempi tutkimus paljasti, että Microsoftin ylläpitämässä VSCode Marketplacessa tarjotaan tuhansia haitallisia lisäosia tai laajennuksia, joita on jo ladattu miljoonia kertoja.

Noita latausmääriä ei kannata nykyään pitää minään mittarina. Niitä feikkilatauksia on niin helppo generoida/ostaa, ettei pelkillä numeroilla oikein ole mitään arvoa.

 

[Pah0lain3]

Noita latausmääriä ei kannata nykyään pitää minään mittarina. Niitä feikkilatauksia on niin helppo generoida/ostaa, ettei pelkillä numeroilla oikein ole mitään arvoa.

Sekin on kyllä totta, hyvä huomio. Mutta on siinä vähän perää kuitenkin?

 

[Agent_007]

Sekin on kyllä totta, hyvä huomio. Mutta on siinä vähän perää kuitenkin?

Parempi olisi saada tilastoja mistä noita latauksia on tullut ja millaisilta koneilta. esim. tuossa Darcula:n kanssa nuo suuret latausnumerot olisivat hyvä asia hyökkääjän kannalta, kun se typosquatting olisi vaikeampi tajuta, jos se marketplacen sivu näyttää suurta latausmäärää.

 

[user9999]

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen päivittäisessä haavoittuvuuskoosteessa (2024-06-14) mainittu haavoittuvuuksista Asus reitittimissä.

KOKO TIEDOTE:
Critical Vulnerabilities Identified in multiple ASUS Routers
URL: TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-ASUS Router - Improper Authentication
Classification: Critical, Solution: Official Fix, Exploit Maturity: Not Defined, CVSSv3.1: 9.8
CVEs: CVE-2024-3080, CVE-2024-3079, CVE-2024-3912
See also:
- TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-ASUS Router - Upload arbitrary firmware
- TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-ASUS Router - Stack-based Buffer Overflow

Critical vulnerabilities have been identified in multiple ASUS router models.
The critical severity vulnerabilities allow an unauthenticated remote attacker
to log into an affected device or to execute arbitrary system commands.
Another high severity vulnerability was also identified that allows a remote
attacker with administrative privileges to execute arbitrary commands on an
affected system. Both of the vulnerabilities have been fixed by the vendors
security updates. One or more of the vulnerabilities affects the following
models and versions:

ZenWiFi XT8 version 3.0.0.4.388_24609 and earlier
ZenWiFi XT8 version V2 3.0.0.4.388_24609 and earlier
RT-AX88U version 3.0.0.4.388_24198 and earlier
RT-AX58U version 3.0.0.4.388_23925 and earlier
RT-AX57 version 3.0.0.4.386_52294 and earlier
RT-AC86U version 3.0.0.4.386_51915 and earlier
RT-AC68U version 3.0.0.4.386_51668 and earlier
DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U versions below 1.1.2.3_792
DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1 versions below 1.1.2.3_807
DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U versions below
1.1.2.3_999
DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, ,DSL-N16P, DSL-N16U,
DSL-AC52, DSL-AC55 all versions, models are end-of-life and vendor recommends
retiring the devices.

EDIT: Laitoin saman tuonne ASUS ketjuun.

ASUS reitittimet, modeemit yms. verkkolaitteet

Asuswrt-Merlin 3004.388.5 julkaistu (wifi 6 mallit). https://www.snbforums.com/threads/asuswrt-merlin-3004-388-5-is-now-available.87874/ 3004.388.5 (2-Dec-2023) - UPDATED: OpenSSL to 1.1.1w. - UPDATED: Curl to 8.4.0. - UPDATED: OpenVPN to 2.6.8. - CHANGED: Enable fast-io for OpenVPN...

bbs.io-tech.fi

 

[Humanoid]

Suomalaisten terveystiedot ovat vapaata riistaa myös ulkomaalaisille "tutkijoille":

Lähes kaikista suomalaisista on kerätty arkaluontoisia tietoja aineistoon, jota markkinoidaan tutkijoille ulkomailla

Findatan markkinoimassa valmisaineistossa on yhteensä 7,1 miljoonan suomalaisen tiedot. Asiantuntijan mukaan ennennäkemättömän laajaan aineistoon liittyy korkeita riskejä.

yle.fi

Tietojen käytön kieltäminen onnistuu seuraavilla ohjeilla: Oikeudet tietoihisi

 

[Pakana]

Windowsin wifi vuotaa isosti ja mahdollistaa koodin ajamisen etänä. Päivitys on.

Koskee kaikkia tuettuja (ja ilmeisesti tukemattomia) windows versioita.

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[Pah0lain3]

Suomalaisten terveystiedot ovat vapaata riistaa myös ulkomaalaisille "tutkijoille":

Lähes kaikista suomalaisista on kerätty arkaluontoisia tietoja aineistoon, jota markkinoidaan tutkijoille ulkomailla

Findatan markkinoimassa valmisaineistossa on yhteensä 7,1 miljoonan suomalaisen tiedot. Asiantuntijan mukaan ennennäkemättömän laajaan aineistoon liittyy korkeita riskejä.

yle.fi

Tietojen käytön kieltäminen onnistuu seuraavilla ohjeilla: Oikeudet tietoihisi

"Juha Sipilän (kesk.) hallitus halusi houkutella niiden avulla Suomeen uutta ulkomaista yritystoimintaa ja sääti niin sanotun toisiolain. "
Suomen vihatuin?

Laitetaanko Sipilä nyt kivimäen sellikaveriksi istumaan vähintään yhtä pitkää?

" Nyt lupien myöntäminen on keskitetty yhdelle viranomaiselle eli Findatalle, joka valvoo tutkijoille annettavien tietojen kokonaisuutta. "
Mites se valvominen hoituu jatkossa että tää tietoja kyselevä yritys ei myy tietoja jälleen? Valvooko joku ylipäätään tätä Findataa joka näitä jakelee?

Edit: Mutta minne nyt pitää kaikkialle ottaa yhteyttä ja kieltää tietojen käyttö?

 

[=JP=]

Edit: Mutta minne nyt pitää kaikkialle ottaa yhteyttä ja kieltää tietojen käyttö?

Tuollahan on selkeät ohjeet, eli toimitat sinne tuon vastustus PDF lomakkeen...

Oikeudet tietoihisi

Sosiaali- ja terveystietojen toissijainen käyttö tarkoittaa sitä, että sosiaali- ja terveydenhuollon asiakas- ja rekisteritietoja käytetään muuhun tarkoitukseen kuin siihen ensisijaiseen tarkoitukseen…

findata.fi

https://findata.fi/wp-content/uploads/sites/13/2020/02/69f40c0f-vastustamisoikeus-sosiaali-ja-terveysalan-tietolupaviranomainen-findata.pdf

 

[Pah0lain3]

Tuollahan on selkeät ohjeet, eli toimitat sinne tuon vastustus PDF lomakkeen...

Oikeudet tietoihisi

Sosiaali- ja terveystietojen toissijainen käyttö tarkoittaa sitä, että sosiaali- ja terveydenhuollon asiakas- ja rekisteritietoja käytetään muuhun tarkoitukseen kuin siihen ensisijaiseen tarkoitukseen…

findata.fi

https://findata.fi/wp-content/uploads/sites/13/2020/02/69f40c0f-vastustamisoikeus-sosiaali-ja-terveysalan-tietolupaviranomainen-findata.pdf

Kiitos, ei vaan huomattu vaikka 4 silmää luki.

 

[Infy]

Kummallinen tuo Findata case. Ymmärtääkseni GDPR lähtökohtaisesti kieltää tuommoisen toiminnan. Henkilörekisterin pitäjä ei saa luovuttaa tietoja mihinkään ulkopuoliseen palveluun ilman henkilön erikseen antamaa suostumusta.

 

[TenderBeef]

Nyt joutuu sanoa pahasti. Mitä vittua?! Näitä ARKALUONTEISIA tietoja joita voidaan kohdistaa henkilöön kerätään ja myydään herra ties mihin. Ja kansalaisen pitää OPT-OUT:taa tästä skeidasta irti?! Ei saatana. Mitenkäs muut mahdolliset rekisterit? Paljonko niitä on? Myydäänkö niistäkin dataa?

Tietoja on kerätty yhteensä 19 eri rekisteristä.

Kyllä rupeaa menemään tämä nykyaika aivan liian pitkälle ihmisten yksityisyyden kanssa. Pienin askelin kaikki yksityisyys viedään. Milloin tulee ensimmäinen "idean esilleheittäminen" valtion kameravalvonnasta jokaisen kotona, koska sillä estettäisiin ongelma x (yleensä lapo on aiheena, koska siihen 99% ihmisistä reagoi tunteella eikä järjellä)? Ei kannata nauraa, pikkuhiljaa kun näitä ihmisten oikeuksia ja yksityisyyttä koko ajan kavennetaan, niin se muutos tapahtuu niin hitaasti, että ihmiset eivät huomaa mistä kaikesta on luovuttu. Luddiitiksi kai tässä joutuu itseään kohta tituleeraamaan?

Hänen mukaansa toisiolaki on parantanut tietoturvaa. Nyt lupien myöntäminen on keskitetty yhdelle viranomaiselle eli Findatalle, joka valvoo tutkijoille annettavien tietojen kokonaisuutta.

Lisäksi tietoja pääsee käyttämään vain viranomaisen hyväksymässä tietoturvallisessa käyttöliittymässä, joka vaatii kaksivaiheisen tunnistautumisen.

Kunnes data vuotaa jollain tavalla, kuten nähdään miten tietoja vuotaa jatkuvasti milloin mistäkin. Rekisterin omistaja, joka siis kerää ja myy sitä dataa, valvoo tietoturvallisuutta? "Kyllähän tässä nyt aika paljon on arkaluonteisia tietoja.. mutta he maksavat tosi hyvin tästä."

 

[Yeenoghu]

Mahtavaa.


Sinne lähti vastustamisoikeuspyyntö pdf ja samaan hengenvetoon GDPR tietopyyntö.

 

[Lista]

GDPR tietopyyntö

Jaa, mistä tuon saa tehtyä?

 

[J.K]

Jaa, mistä tuon saa tehtyä?

Eiköhän se ole tuo "Oikeus saada pääsy tietoihin" -lomake, joka löytyy sieltä samalta sivulta. Laitoin itse tuon ja sen vastustamisoikeuden Suomi.fi-viestillä menemään.

 

[Yeenoghu]

Eiköhän se ole tuo "Oikeus saada pääsy tietoihin" -lomake, joka löytyy sieltä samalta sivulta. Laitoin itse tuon ja sen vastustamisoikeuden Suomi.fi-viestillä menemään.

Jep, juuri se.

 

[Pah0lain3]

Lähes kaikista suomalaisista on kerätty arkaluontoisia tietoja aineistoon, jota markkinoidaan tutkijoille ulkomailla

Findatan markkinoimassa valmisaineistossa on yhteensä 7,1 miljoonan suomalaisen tiedot. Asiantuntijan mukaan ennennäkemättömän laajaan aineistoon liittyy korkeita riskejä.

yle.fi

Ei voi muuta kyllä sanoa kuin että aika sanattomaksi vetää. Oikeasti, niinku ihan sanattomaksi.
Vastaamo keissikään ei opettanu yhtään mitään kellekkään paitsi muutamille foorumilaisille sekä uhreille
Ei vo kun ihmetellä silmät pyöreänä...Järkyttävää.

 

[TenderBeef]

”Tietoja ja henkilöitä ei voida yhdistää”, vakuuttaa ministeri Grahn-Laasonen terveystietoaineiston markkinoinnista

Julkisoikeuden professorin mukaan suomalaisten laajaan terveystietoaineistoon liittyy suuria turvallisuusriskejä.

yle.fi

Niinpä niin, kokoomukselainen poliitikko kertoo ettei ole mitään vaaraa. Kokoomus joka aina haluaa myydä suomen ja suomalaisten omaisuutta ja tietoja.

 

[Algron28]

Suomalaisten terveystiedot ovat vapaata riistaa myös ulkomaalaisille "tutkijoille":

Lähes kaikista suomalaisista on kerätty arkaluontoisia tietoja aineistoon, jota markkinoidaan tutkijoille ulkomailla

Findatan markkinoimassa valmisaineistossa on yhteensä 7,1 miljoonan suomalaisen tiedot. Asiantuntijan mukaan ennennäkemättömän laajaan aineistoon liittyy korkeita riskejä.

yle.fi

Tietojen käytön kieltäminen onnistuu seuraavilla ohjeilla: Oikeudet tietoihisi

Onkohan tuolla syyllä kuinka väliä?

 

[Petroizki]

Voiko tuon THL:n tietosikailukiellon tehdä myös lasten puolesta jotenkin?

 

[Metaxa]

Voiko tuon THL:n tietosikailukiellon tehdä myös lasten puolesta jotenkin?

Huoltaja voi tehdä pyynnön lapsen puolesta – liitä mukaan todistus huoltajuudesta tai lapsen muusta laillisesta edustamisesta.

Tuollainen kohta löytyi kun selasi sivua.

 

[Petroizki]

Huoltaja voi tehdä pyynnön lapsen puolesta – liitä mukaan todistus huoltajuudesta tai lapsen muusta laillisesta edustamisesta.

Tuollainen kohta löytyi kun selasi sivua.

Joo olihan siellä tosiaan tuollainen, mutta lisäksi: Jos kyseessä on yhteishuoltajuus, tulee pyynnön olla kummankin huoltajan tekemä ja allekirjoittama.

Tämä ei taida sitten onnistua suomi.fi viestien kautta, kun se katsotaan vain toisen huoltajan allekirjoittamaksi. Suomi.fi palvelussa voi kyllä myös asioida huollettavan puolesta, pitäisi vaan enabloida tuo viestipalvelu johonkin sähköpostiosoitteeseen. Tällöin pystyisi ehkä lähettämään tuon lomakkeen ihan normaalisti "lapsena", ehkä? On kyllä tehty helpoksi.

 

[Obi-Lan]

Artikkelin mukaan tuo aineisto on kerätty ennen 2010? Vai onko senkin jälkeen? Lähinnä se meinaisi ettei alle 14v lapset ole mukana tuossa..

 

[DaNightlander]

En ollut jotenkin vielä valmis tähän dystopiaan, jossa valtio tekee massia mun terveystiedoilla. Melko pohjoiskorealaiselta tuntuu näin äkisti. Nopeasti on edetty Googlen datamainauksesta tähän, kun valtio on se suurempi uhka yksityisyyden suojalle.

 

[tepatyyli]

Tää Findata keissi pitäis torpata jotenkin. Jospa joku osais muotoilla kansalaisaloitteen tästä, joka yrittäisi estää koko touhun tai edes pakottaa viranomaiset kehittämään yhden simppelin sivun omien (ja lasten) tietojen jakamisen kontrolloimiseen. Näin siis ennen kuin sitä tai muita datasettejä jaetaan enempää yhtään minnekkään.

 

[Barbarossa]

Erityisen perseestä nämä tietojen jakamisasiat on sen takia että vaikka kuinka jälkikäteen pakitettaisi, niin kun ne tiedot on kerran laitettu maailmalle niin ne pysyvät siellä. Mitään seurauksia ei tule luonnollisesti kenellekään vaikka jopa laittomaksikin todettaisi jälkikäteen, paitsi ehkä niille joiden tiedot on jaettu ja joita hyväksikäytetään jotenkin. Ei sillä että tässä mitään ongelmaa nähtäisi.

Yksityisyyden ja henkilökohtaisten tietojen merkitys tuntuu olevan virkakyösteille täysin vieras ja yhdentekevä.

 

[Hyrava]

Tää Findata keissi pitäis torpata jotenkin. Jospa joku osais muotoilla kansalaisaloitteen tästä, joka yrittäisi estää koko touhun tai edes pakottaa viranomaiset kehittämään yhden simppelin sivun omien (ja lasten) tietojen jakamisen kontrolloimiseen. Näin siis ennen kuin sitä tai muita datasettejä jaetaan enempää yhtään minnekkään.

Nuo kiellot voisi kyllä kasata johonkin yhteen paikkaan, juuri joku aika sitten kliksuttelin ainakin suomi.fi -palvelussa sekä Traficomin ja PRH:n sivuilla kieltoja päälle ja luultavasti noita paikkoja on vielä paljon lisääkin. Nyt kun noita tietomurtoja sun muita on alkanut olemaan yhä enemmän ja enemmän niin tosiaankin haluan vähentää noiden tietojen luovuttamista ettei niitä ole ihan joka toisen palvelun levynkulmalla odottamassa murron tapahtumista.

Pitää itsekin käydä pistämässä tuonne Findatallekin kiellot päälle, tuo vaikuttaa ainakin omasta mielestä sellaiselle rekisterille jonka kautta joskus voisikin jotain vuotaa joskus, varsinkin kun tietoja luovutetaan ulkomaille ja yksityishenkilöille. Vaikka data onkin pseudonymisoitua niin silti jos sieltä saa iän, sukupuolen, synnyin- ja asuinpaikkakunnan ja pari muuta tietoa niin niiden perusteella voi jo kohtalaisella tarkkuudella yksilöidä kenestä data on.

 

[Humanoid]

Pitää itsekin käydä pistämässä tuonne Findatallekin kiellot päälle, tuo vaikuttaa ainakin omasta mielestä sellaiselle rekisterille jonka kautta joskus voisikin jotain vuotaa joskus, varsinkin kun tietoja luovutetaan ulkomaille ja yksityishenkilöille. Vaikka data onkin pseudonymisoitua niin silti jos sieltä saa iän, sukupuolen, synnyin- ja asuinpaikkakunnan ja pari muuta tietoa niin niiden perusteella voi jo kohtalaisella tarkkuudella yksilöidä kenestä data on.

Tuollainen opt-out -metodi on kyllä todella kankea etenkin, jos täytyy rustailla jotain hakemuksia. Niihin vastauksia odotellessa tietoja saattaa jo levitä jonnekin etkä voi asialle mitään. Tällaiset optiot täytyisi aina olla vapaaehtoisia vaikkapa Kannan kautta. Se, että data on oletuksena saatavilla ei istu nykymaailmaan.

 

[Pah0lain3]

Oletko huolissasi FinRegistry-valmisaineistosta? Lue lisää aineistosta ja tietojen käytön kieltämisestä

Miten kiellän tietojeni toisiokäytön Findatassa?

findata.fi

Findatan FinRegistry-valmisaineisto on herättänyt keskustelua sote-tietojen toisiokäytöstä ja kansalaisten tietosuojasta. Kokosimme tähän artikkeliin vastauksia uutisoinnin herättämiin kysymyksiin.


Yle uutisoi lauantaina 15.6.2024 (yle.fi)

. ja sunnuntaina 16.6.2024 (yle.fi)
FinRegistry-valmisaineistosta, johon Findata voi tietolupaviranomaisena myöntää tietolupia.


Valmisaineisto koostuu THL:n ja Helsingin yliopiston Molekyylilääketieteen instituutin (FIMM) FinRegistry-tutkimushankkeessa kootuista rekisteriaineistoista ja niiden pohjalta muodostetuista tutkimusaineistoista. Aineistossa on mukana DVV:n, ETK:n, Kanta-palveluiden, Kelan, Syöpärekisterin, THL:n ja Tilastokeskuksen tietoja. Aineistokuvaukset löytyvät Aineistokatalogista (aineistokatalogi.fi).

Valmisaineistojen lisäksi myönnämme luvat sosiaali- ja terveystietojen toissijaiseen käyttöön, kun niitä tarvitaan usealta julkiselta rekisterinpitäjältä, yksityiseltä sektorilta tai Kanta-palveluista.


Findata ei ole myöntänyt FinRegistry-valmisaineistoon vielä yhtään lupaa, eli tietoja ole toimitettu kenenkään käyttöön.

Myykö Findata suomalaisten sosiaali- ja terveystietoja?

Emme myy kenenkään sote-tietoja tai harjoita kaupallista toimintaa.


Findata on tietolupaviranomainen, joka myöntää määräaikaisia lupia sote-tietojen toissijaiseen käyttöön silloin, kun toisiolaissa säädetyt luvan edellytykset täyttyvät. Kun luvan voimassaolo päättyy, luvansaajalla ei ole enää pääsyä aineistoon.


Lupa myönnetään aina tiettyyn tarkoitukseen ja luvassa nimetään ne henkilöt, joilla on oikeus käsitellä pseudonymisoitua aineistoa suljetussa etäkäyttöympäristössä. Muut henkilöt eivät tietoja näe. Lupien myöntämistä edeltää aina hakemuskäsittely ja huolellinen lupaharkinta. Luvansaaja hyväksyy lupaehdot, joissa määritellään tarkasti, miten tietoa saa käsitellä.


Luvat ovat julkisia viranomaispäätöksiä ja tietoa niistä löytyy Myönnetyt luvat -sivulta.


Emme luovuta FinRegistry-aineistoa tai muitakaan rekisteritietoaineistoja luvanhakijoille sellaisenaan, vaan aineistosta poimitaan vain ne tiedot, jotka ovat tutkimuksen tekemisen kannalta välttämättömiä. Esimerkiksi syntymäajan kohdalla arvioidaan, riittäisikö tiedoksi syntymävuosi tai -kuukausi syntymäpäivän sijaan. Arvioimme myös, onko syytä luovuttaa yksilötasoista tietoa vai riittäisikö tutkimuksen tekemiseen anonyymi tilastoaineisto.

Miksi Findata ei tehnyt FinRegistry-valmisaineistolle vaikutustenarviointia?

Ylen uutisessa kerrottiin, että FinRegistry-valmisaineistosta ei ole tehty vaikutustenarviointia. Aineiston käsittelyyn liittyviä riskejä on kuitenkin arvioitu ja arvioidaan käsittelyn eri vaiheissa:

1. Aineiston koonnut FinRegistry-tutkimushanke on tehnyt vaikutustenarvioinnin tutkimushankkeen henkilötietojen käsittelystä.
2. Findata on tehnyt vaikutustenarvioinnin käyttöympäristöstä, missä valmisaineistoa ja muitakin tietoja käsitellään.
3. Findata on tekemässä vaikutustenarvioinnin myös FinRegistry-valmisaineistoon liittyvistä Findatan käsittelytoimista varmistaakseen, että erityisesti tähän aineistoon liittyvät riskit on huomioitu.
4. Lisäksi luvanhakijat tekevät suunnittelemastaan FinRegistry-aineiston tietojen käsittelystä vaikutustenarvioinnin.

Miten Findata valvoo tietosuojan toteutumista henkilötietojen käsittelyssä?

Kuten kaikkia Findatan luvittamia henkilötietoaineistoja, myös FinRegistry-aineistoa saa käsitellä vain auditoidussa tietoturvallisessa etäkäyttöympäristössä, jossa ei ole verkkoyhteyttä. Etäkäyttöympäristöt ovat suljettuja, eli käyttäjä ei saa niistä siirrettyä tietoja sisään tai ulos.


Käyttöjärjestelmät tallentavat tietojen käsittely- ja tapahtumahistoriaa. Näistä lokitiedoista ilmenee esimerkiksi se, kuka tietoja on käsitellyt, miten tietoja on käsitelty ja milloin tietoja on käsitelty. Lokitietoa kerätään sekä tietoja käsittelevien viranomaisten ja rekisterinpitäjien että tietoluvan perusteella tietoja käsittelevien suorittamasta käsittelystä.


Kun yhteys käyttöympäristöön katkaistaan, luvansaajilla ei ole enää keinoa päästä aineistoon käsiksi.

Miten kiellän tietojeni toisiokäytön?

Voit kieltää tietojesi käytön lähettämällä meille pyynnön asiasta. Tietojen käytön vastustaminen on toistaiseksi voimassa oleva ja se on voimassa siitä päivästä lähtien, kun pyyntö on käsitelty. Ylläpidämme erillistä rekisteriä henkilöistä, jotka ovat esittäneet vastustamispyynnön.


Vastustaminen koskee Findatan hallinnoimia ja Findatan kautta kulkevia tietoja. Vastustuspyyntö Findatalle ei estä muita toisiolaissa mainittuja rekisterinpitäjiä kuten esimerkiksi hyvinvointialueita luovuttamasta tietoja toissijaiseen käyttöön.


Löydät tietoa oikeuksien käytöstä Findatassa kootusti sivulta Oikeudet tietoihisi.


Voit käyttää oikeuksiasi täyttämällä alta ladattavan lomakkeen ja lähettämällä sen Suomi.fi-palvelussa. Käytämme Suomi.fi-palvelua sen tarjoaman vahvan tunnistautumisen vuoksi, sillä meidän on varmistettava oikeuttaan käyttävän henkilön henkilöllisyys, jotta kohdistamme toimenpiteet oikean henkilön tietoihin. Kieltoa ei voi tehdä Findatan asiointipalvelussa.


Jos et voi käyttää Suomi.fi-palvelua, voit asioida henkilökohtaisesti Helsingissä (Mannerheimintie 166) tai Kuopiossa (Neulaniementie 4) Terveyden ja hyvinvoinnin laitoksen aulapalvelussa.


Selvitämme tällä hetkellä vaihtoehtoisia tapoja tunnistautua Suomi.fi-viestien ja paikan päällä asioinnin lisäksi.

Joku jossain painoi paniikkinappulaa? Paska haisee etänä tänne saakka.

Mistä sen nyt sitten koskaan tietää noudattaako vaikka nyt sitten tämä findata tätä kieltoa omista tiedoista? Luottaa pitäis?

 

[Hyrava]

Oletko huolissasi FinRegistry-valmisaineistosta? Lue lisää aineistosta ja tietojen käytön kieltämisestä

Miten kiellän tietojeni toisiokäytön Findatassa?

findata.fi

Joku jossain painoi paniikkinappulaa? Paska haisee etänä tänne saakka.

Hieman haiskahtaa juu, ensin tuolla mainitaan että "Findata ei ole myöntänyt FinRegistry-valmisaineistoon vielä yhtään lupaa" ja sitten samalla sivulla on linkki " Myönnetyt luvat ", eli ilmeisesti juuri tuolle nykyiselle datalle ei ole myönnetty mutta aikaisemmalle materiaalille senkin edestä, muunmuassa useammallekin yksityishenkilölle.

 

[ojisama]

Joskin mitä noita kurkistelin, niin sangen hyödyllisen näköisiä tutkimuksia tuolla mukana. Joistakin opinnäytetöistä toki paha sanoa mitään.