Tietoturvauutiset ja blogipostaukset

Kaikkeahan olisi kiva tehdä, mutta kun ajossa joudutaan käyttämään x ja y syystä legacy ohjelmia tai ylipäätänsä jotain erikoista mikä ei tue edes tls 1.0 korkeampaa tasoa. :beye:
Tälläisenkin järjestelmän vaihdossa saatetaan puhua miljoonalla alkavasta kuluerästä. :darra:

Juu iso siirtymä on - meillä tehty proxyillä sitten että saadaan TLS1.2/1.3 frontend puolelle. Backendissä saa jatkossa 1.0/1.1 olla. Tämä tehtävä kun selaimet pudottaa tuen sitten pois oletuksena ja tietoturvan takia parempi näin tehdä.
 
Viimeksi muokattu:
Favicon.ico.png


36C3 alkoi. Tietysti lukematon määrä hyviä luentoja:
Live-Streams – 36C3 Streaming

Mutta se miksi postasin tähän, on tämä, niiden infosec postaus. Loistava paketti perustietoa kaikille:
Static:Information Security - 36C3 Wiki

Sitten vaan miettimään, että onko siellä, missä oletkin asiat kunnossa kaikkien laitteiden osalta?
 
Viimeksi muokattu:
Emotet -haittaohjelma saastuttanut Frankfurtin kaupungin tietokoneet, kaupungin IT-järjestelmät otettu irti verkosta
https://www.talouselama.fi/uutiset/te/d9278b3e-c52c-4e86-898b-4ac7196d32c4

ZDNet kertoo, että pahamaineinen Emotet-haitake on iskenyt Frankfurtin kaupungin it-järjestelmiin. Emotet on haitake, joka saastuttaa kohdejärjestelmät, ja sen jälkeen avaa portit toisille hakkereille maksua vastaan. Emotet onkin usein airut kiristysohjelmakampanjalle.

Jotta Emotet ei pääsisi jatkamaan Frankfurtista matkaansa muualle, tai ennen kuin se päästäisi sisään jotain vielä pahempaa, Saksan kyberturvaosasto BSI:n neuvoma kaupunki veti hätäjarrusta ja ajoi itse omat järjestelmänsä alas voidakseen kuurata ne huolella.

Frankfurtin oli pakko reagoida tilanteeseen ripeästi, sillä se on yksi maailman finanssikeskuksista. Sillä ei ole varaa päästää Emotetin kaltaista haitaketta saastuttamaan mitään finanssipalvelua. Muun muassa Euroopan keskuspankki pitää kaupungissa päämajaansa, ja mikäli Emotet, saati sitten sen kautta sisään uivat virukset, pääsisivät siihen käsiksi, seuraukset olisivat sangen vakavat.

Tämä on neljäs saksalaiseen kaupunkiin tai organisaatioon kohdistunut Emotet-isku kahden viikon sisällä. Tätä ennen Emotet on piinannut Justus Liebigin yliopistoa, Bad Homburgin kaupunkia sekä Freiburgin katolista yliopistoa. Kaikki kolme tahoa ovat sulkeneet järjestelmänsä iskun seurauksena.

Kolmikosta ainoastaan Justus Liebigin yliopisto reagoi liian myöhään, ja sen koneisiin iski tuhoisa Ryuk-kiristyshaitake. Yliopisto ei ole hoitanut jälkipyykkiä mitenkään erityisen mallikkaasti.
 
Koko ajan kehitellään kaikenlaisia uusia keinoja päästä koneisiin käsiksi. Kaikkihan tietää, että jos maasta tai jostain löytyy USB-tikku, ettei sitä kannata ehkä koneeseen laittaa kiinni sen ihmeempiä ajattelematta. Nyt sitten jos löytyy tai tarjotaan vaikka lainaan USB-kaapelia, niin kannattaa miettiä tovi. Tietenkin näitä hyödynnetään yritysmaailmassa pääasiallisesti (valtioiden vakooja laitoksia unohtamatta), mutta aina näitä propellipäitä riittää maailmassa, joilla liikaa rahaa ja haluaa "leikkiä" ('"its just a prank bro").

O.MG Cable

Eli, kaapelissa on sisäänrakennettuna WIFIt ja systeemit (näyttää ulkoisesti ihan normaalilta kaapelilta), eli pääsee etänä kiinni tuohon, jos sattuu kohde sen laittamaan koneeseen kiinni. Siitä sitten payload sisään, vaikka etähallinta softan asentamaan ja pahis pääsee koneelle, näin yksinkertaistettuna.

Ihan vaan mielenkiinnosta ajattelin laittaa, saattaa joitain ihmisiä kiinnostaa tietää tälläistenkin laitteiden olemassaolosta...
 
Koko ajan kehitellään kaikenlaisia uusia keinoja päästä koneisiin käsiksi. Kaikkihan tietää, että jos maasta tai jostain löytyy USB-tikku, ettei sitä kannata ehkä koneeseen laittaa kiinni sen ihmeempiä ajattelematta. Nyt sitten jos löytyy tai tarjotaan vaikka lainaan USB-kaapelia, niin kannattaa miettiä tovi. Tietenkin näitä hyödynnetään yritysmaailmassa pääasiallisesti (valtioiden vakooja laitoksia unohtamatta), mutta aina näitä propellipäitä riittää maailmassa, joilla liikaa rahaa ja haluaa "leikkiä" ('"its just a prank bro").

O.MG Cable

Eli, kaapelissa on sisäänrakennettuna WIFIt ja systeemit (näyttää ulkoisesti ihan normaalilta kaapelilta), eli pääsee etänä kiinni tuohon, jos sattuu kohde sen laittamaan koneeseen kiinni. Siitä sitten payload sisään, vaikka etähallinta softan asentamaan ja pahis pääsee koneelle, näin yksinkertaistettuna.

Ihan vaan mielenkiinnosta ajattelin laittaa, saattaa joitain ihmisiä kiinnostaa tietää tälläistenkin laitteiden olemassaolosta...

Kun yksi liitäntäväylä käy kaikkiin tarkoituksiin, tällainen on mahdollista tai ainakin helpompaa. Helppokäyttöisyyden varjopuoli.
 
Kun yksi liitäntäväylä käy kaikkiin tarkoituksiin, tällainen on mahdollista tai ainakin helpompaa. Helppokäyttöisyyden varjopuoli.

USB:n kautta ei tainnut pystyä suoraan kopioimaan koneen muistia, mutta parempien väylien kuten Firewiren kautta sekin käy... Eli vaikka kone olisi kuinka kryptattu, niin avaimet saa vietyä suoraan muistista.

Tässä on kiva lelu, jos tykkää verkkoja snooppailla.
Shark Jack

Sekä tietysti muistuts asiasta joka oli jo aikaisemmin selvää, mutta nyt se on vielä selvempää:
SHA-1 is a Shambles

SHA1 on rikki ja sitä ei pitäisi käyttää enää missään. Toisaalta kuten jo todettu, toisaalta kuulostaa naurettavalta kun sanotaan että asia X on rikki, vaikka asian X käyttäminen olisi silti huomattavasti parempi vaihtoehto, kuin sen käyttämättäjättäminen, mikäli parempaa vaihtoehtoa ei ole olemassa. Vrt TLS1.0 on rikki, käytetään sitten HTTP:tä.
 
Useissa kaapelimodeemeissa on haavoittuvuus (CVE-2019-19494 ja CVE-2019-19495), jonka kautta hyökkääjä voi ajaa koodia modeemilla. Vaatii pääsyn modeemiin sisäverkon kautta, mutta haavoittuvuutta voidaan käyttää myös esim selaimen kautta.

Googlen perusteella ainakin osa haavoittuvaksi listatuista modeemeista on suomalaisilla operaattoreilla käytössä. Listattuna on vain varmasti haavoittuvat laitteet, joten myös muut modeemit voivat olla haavoittuvaisia. Operaattorien omat firmwaret ovat ehkä korjanneet ongelman, mutta kannattaa silti tarkistaa asia. Oman modeemin tilanne pitäisi pystyä testaamaan täältä löytyvällä skriptillä, mutta tällä hetkellä repo on tyhjä.

Cable Haunt
 
Ei sinänsä suoraan liity tietoturvaan, mutta on ihan hyvä muistutus. Muistakaa 3-2-1 strategia. Jotkut ei muista ja kaikki katosi:
Status - Gandi.net
Lyhyesti Gandin levyjärjestelmä meni jojoon ja tiedot katosi, mukaanlukien backupit.
 
Useissa kaapelimodeemeissa on haavoittuvuus (CVE-2019-19494 ja CVE-2019-19495), jonka kautta hyökkääjä voi ajaa koodia modeemilla. Vaatii pääsyn modeemiin sisäverkon kautta, mutta haavoittuvuutta voidaan käyttää myös esim selaimen kautta.

Googlen perusteella ainakin osa haavoittuvaksi listatuista modeemeista on suomalaisilla operaattoreilla käytössä. Listattuna on vain varmasti haavoittuvat laitteet, joten myös muut modeemit voivat olla haavoittuvaisia. Operaattorien omat firmwaret ovat ehkä korjanneet ongelman, mutta kannattaa silti tarkistaa asia. Oman modeemin tilanne pitäisi pystyä testaamaan täältä löytyvällä skriptillä, mutta tällä hetkellä repo on tyhjä.

Cable Haunt

Testi skripti on julkaistu. Katselin että ainakin omassa EPC3928AD:ssa tuo spectrum analyzer rullaa 8080 portin takana.
Virittelen tässä parhaillaan linux lootaa pystyyn, ajattelin kokeilla tuota testi skriptiä.

Edit: Testi skripti ei käynnistänyt modeemiani uudestaan. :confused:
 
Viimeksi muokattu:
Citrix ADC haavoittuvuutta hyväksikäytetään aktiivisesti

Citrix ADC VPN-yhdyskäytävässä olevaa haavoittuvuutta CVE-2019-19781 pyritään aktiivisesti hyväksikäyttämään. Koska korjauspäivitystä ei ole vielä saatavilla, käyttäjiä kehotetaan ottamaan rajoitusmenetelmät käyttöön välittömästi ja seuraamaan lokitietoja tunkeutumisyritysten varalta.

Citrix ADC haavoittuvuutta hyväksikäytetään aktiivisesti | Kyberturvallisuuskeskus
 
Testi skripti on julkaistu. Katselin että ainakin omassa EPC3928AD:ssa tuo spectrum analyzer rullaa 8080 portin takana.
Virittelen tässä parhaillaan linux lootaa pystyyn, ajattelin kokeilla tuota testi skriptiä.

Edit: Testi skripti ei käynnistänyt modeemiani uudestaan. :confused:

Technicolor CGA2121 kaatui, mikä on ainakin Telian kaapeliverkossa käytössä.
 
Useissa kaapelimodeemeissa on haavoittuvuus (CVE-2019-19494 ja CVE-2019-19495), jonka kautta hyökkääjä voi ajaa koodia modeemilla. Vaatii pääsyn modeemiin sisäverkon kautta, mutta haavoittuvuutta voidaan käyttää myös esim selaimen kautta.

Googlen perusteella ainakin osa haavoittuvaksi listatuista modeemeista on suomalaisilla operaattoreilla käytössä. Listattuna on vain varmasti haavoittuvat laitteet, joten myös muut modeemit voivat olla haavoittuvaisia. Operaattorien omat firmwaret ovat ehkä korjanneet ongelman, mutta kannattaa silti tarkistaa asia. Oman modeemin tilanne pitäisi pystyä testaamaan täältä löytyvällä skriptillä, mutta tällä hetkellä repo on tyhjä.

Cable Haunt
Vaikuttaakohan tuo kaapelimodeemeihin jotka on sillatussa tilassa. Se siltahan on vähän purkkaviritys noissa yleensä eikä oikea puhdas silta.

EDIT: Jaa, olihan siellä mainittu jotain

What About Modems in Bridge Mode, or Behind a Firewall?


It is hard to say across all models, if the vulnerable endpoint is available when operating in bridge mode. We have however received several reports from individual users across the world, where the modem was still vulnerable even in bridge mode, so this is definitely not a security guarantee. If your modem is running behind a separate router/gateway, you might be safe by configuring a firewall restriction on the spectrum analyzer. In any case, it is a decent mitigation strategy, while waiting for your ISP to roll out deployments.
 
DuckDuckGo is Now a Default Search Engine Option on Android in the EU - Search Engine Journal

Eli tulevaisuudessa Android luurin pitää antaa EU asukkaille ensimmäisellä käynnistyksellä mahdollisuuden valita käytetyn hakukoneen, eli Google ei voi pakottaa vaan omaansa enää.

Google’s previous practices of setting itself as the default search provider on its own operating system was ruled illegal under EU antitrust rules. As a result, Google was hit with a record-breaking $5 billion fine.

Now, Google has to change its practices and prompt users to choose their own default search engine when setting up a European Android device that has the Google Search app built in. Not all countries will have the same options, however, as the choices included in Google’s new prompt all went to the highest bidders.

As it turns out, DuckDuckGo must have bid more aggressively than other Google competitors, as it’s being offered as a choice across all countries in the EU.
 
Kannattaa sitten päivitellä Windowsit (kaikki versiot) nyt tiistaina, oletettavasti tulossa korjaus todella vakavaan reikään (crypt32.dll)!

Cryptic Rumblings Ahead of First 2020 Patch Tuesday — Krebs on Security

A critical vulnerability in this Windows component could have wide-ranging security implications for a number of important Windows functions, including authentication on Windows desktops and servers, the protection of sensitive data handled by Microsoft’s Internet Explorer/Edge browsers, as well as a number of third-party applications and tools.

Equally concerning, a flaw in crypt32.dll might also be abused to spoof the digital signature tied to a specific piece of software. Such a weakness could be exploited by attackers to make malware appear to be a benign program that was produced and signed by a legitimate software company.
 
5G verkoissa tulee sitten olemaan myös mielenkiintoista tulevaisuutta tarjolla. Tietoturva on klassinen ongelma, ku nsiihen ei haluta panostaa.
5G Security - Schneier on Security
En ota kantaa teknisesti tuohon artikkeliin, mutta jotenkin ei yllätä ja on aikalailla sitä mikä onkin odotettavissa ja normaalia.

Mitä tuli DDG:n, kannattaa myös chekata Mojeek, Qwant ja SwissCows.
 
Kannattaa sitten päivitellä Windowsit (kaikki versiot) nyt tiistaina, oletettavasti tulossa korjaus todella vakavaan reikään (crypt32.dll)!

Cryptic Rumblings Ahead of First 2020 Patch Tuesday — Krebs on Security

A critical vulnerability in this Windows component could have wide-ranging security implications for a number of important Windows functions, including authentication on Windows desktops and servers, the protection of sensitive data handled by Microsoft’s Internet Explorer/Edge browsers, as well as a number of third-party applications and tools.

Equally concerning, a flaw in crypt32.dll might also be abused to spoof the digital signature tied to a specific piece of software. Such a weakness could be exploited by attackers to make malware appear to be a benign program that was produced and signed by a legitimate software company.
NSA otti julkisesti kunnian haavoittuvuuden löytämisestä. Helposti syntyy kuva että aukko ei ole niin vakava kuin annetaan ymmärtää.

Kevin Beaumontin mukaan vika ei koske Windows 7 & 8 käyttiksiä. Mikä on eri puolilla maailmaa varmasti hyvä uutinen.
 
Millaisiin lähteisiin tämä väite perustuu?
Ihan siihen ettei se data ole end2end kryptattua eli Applella on niihin avain. Edes backupit ei ole kryptattuja iCloudissa (toisin kuin Googlella omassa pilvessään).

Ja tuohon tietysti vielä päälle kaikki softat jotka käyttää iCloudin synkronointia (whatsapp yms palvelut).
 
Ihan siihen ettei se data ole end2end kryptattua eli Applella on niihin avain. Edes backupit ei ole kryptattuja iCloudissa (toisin kuin Googlella omassa pilvessään).

Ja tuohon tietysti vielä päälle kaikki softat jotka käyttää iCloudin synkronointia (whatsapp yms palvelut).
Data ei ole kryptattya end2end, mutta sitä siirrellään salatun yhteyden yli joka miltei poikeuksetta vaatii 2FA autentikoinnin. Ideaalitilanne on toki että se olisi oikeasti kryptattu mutta uskalttaisin väittää että sellaiset palvelut ovat aika harvassa.

Mitä Googleen, OneDriveen ja muihin (pCloudia ja Sync.com:ia lukuunottamatta) datan kryptaamiseen tulee, niin siihen ei oikein voi muuta sanoa kuin "heh". ZeroTrust ja sitä rataa.

iCloud pyörii Google Driven päällä, joten kyseisellä logiikalla sekin on kryptattu. :p

Niin kauan kun kyse ei ole täysin avoimesta koodista ja site2site kryptauksesta tähän asti murtumattomalla salausavaimella, kyse on lähinnä toivekkaasta ajattelusta.
 
Data ei ole kryptattya end2end, mutta sitä siirrellään salatun yhteyden yli joka miltei poikeuksetta vaatii 2FA autentikoinnin. Ideaalitilanne on toki että se olisi oikeasti kryptattu mutta uskalttaisin väittää että sellaiset palvelut ovat aika harvassa.

Mitä Googleen, OneDriveen ja muihin (pCloudia ja Sync.com:ia lukuunottamatta) datan kryptaamiseen tulee, niin siihen ei oikein voi muuta sanoa kuin "heh". ZeroTrust ja sitä rataa.

iCloud pyörii Google Driven päällä, joten kyseisellä logiikalla sekin on kryptattu. :p

Niin kauan kun kyse ei ole täysin avoimesta koodista ja site2site kryptauksesta tähän asti murtumattomalla salausavaimella, kyse on lähinnä toivekkaasta ajattelusta.
Pointti lähinnä siinä että Google kryptaa backupit end2end:nä, toisin kuin Apple. Joten ne datat saadaan sieltä iCloud:sta ulos selkokielisnä valmistajan avustuksella. "ZeroTrust ja sitä rataa" :)

Google to Encrypt Android Cloud Backups With Your Lock Screen Password
https://www.nccgroup.trust/us/our-research/android-cloud-backuprestore/?research=Public+Reports

Ja kyse tosiaan niistä pilveen menevistä backupeista niin iCloudin kuin Googlen osalta.
 
Pointti lähinnä siinä että Google kryptaa backupit end2end:nä, toisin kuin Apple. Joten ne datat saadaan sieltä iCloud:sta ulos selkokielisnä valmistajan avustuksella. "ZeroTrust ja sitä rataa" :)

Google to Encrypt Android Cloud Backups With Your Lock Screen Password
https://www.nccgroup.trust/us/our-research/android-cloud-backuprestore/?research=Public+Reports

Ja kyse tosiaan niistä pilveen menevistä backupeista niin iCloudin kuin Googlen osalta.

Kuten sanoin niin kauan kun kyseessä ei ole täysin avoin ja auditoittavissa oleva lähdekoodi, salaus ei takaa sitä etteikö pilven pyörittäjä saisi salattua dataa auki. Ainut tapa varmistaa asian on itse salata kolmannen osapuolen työkaluilla ja sellaisilla salausmenetelmillä, joilla ei ihan tuosta noin saada dataa purettua auki.

Googlea ja sen touhuja mm. maksullisen Gmailin suhteen tuntien, en pidättäisi hengitystä sille että salattu data on vain sinun käytettävissä.
 
Eli sinne ei kannata backupata yhtään mitään jos omien satojen turvallisuus on tärkeää.

Tämä ja koskee muuten myös useimpia muitakin palveluita.

Palveluntarjoajien salaukset on usein höpöhöpöä, älä koskaan luota niihin ja niissä on backdoorit. Jos haluat salatatiedot, käytä oikeaa salausta, älä leikkisalausta. Niin moni firma levittää näistä asioista ihan päivänselvää disinformaatiota. Jos asiaa katsoo vähänkin lähemmin, niin selviää, että mitään tietoturvaa ratkaisuissa ei oikeasti ole. Juuri tuossa viimeviikolla luin taas kasan erilaisia viranomaisdokumentteja, joissa suoraan sanottiin, että jos salaus on, se pitää toteuttaa "vastuullisella periaatteella". Joka tarkoittaa sitä, että jos halutaan, se voidaan purkaa tai kytkeä helposti pois käytöstä, esimerkiksi asiakaskohtaisesti. Toteutustavat vaihtelee, mutta tuo sanoma oli varsin selvä. Niin moni salaava ja turvallinen ja anonyymi-palvelu on silkkaa valhetta. Mukaan lukien useimmat VPN:t.
 
pCloudia ja Sync.com:ia lukuunottamatta

pCloud ainakin täyttää juuri nuo merkit jotka aikaisemmin mainitsin. Eli palveluntarjoaja väittää, että niillä ei ole pääsyä avaimiin. Mutta avaimia hallinnoi niiden ohjelmisto. Aaaahem. En sanoisi tuota turvalliseksi ratkaisuksi. Turvallisuus on tietysti suhteellista, mutta ainakin perinteisessä mielessä tuota ei lasketa turvalliseksi ratkaisuksi. Salaus perusuu vain siihen olettamukseen, että normaalitilanteessa pCloud ei halua sinun avaimiasi, ja toteuttaa salauksen kunnolla. - Mutta heillä on mahdollisuus milloin tahansa muuttaa tätä käytäntöä, heikentää salausta, lisätä ylimäärisiä salausavaimia, tai vaan ottaa nykyiset avaimet heidän käyttöön.

Uskokaa kaverit, mulle voitte antaa kaikki teidän salaisuudet. Lupasin just olla kertomatta niitä kenellekään tai kiristämättä teitä niillä. Ja ainakin toistaiseksi tämä luottamus pitää. Vai onko teillä tiedossa joku, jota olisin kiristänyt? ;)
 
Pointti lähinnä siinä että Google kryptaa backupit end2end:nä, toisin kuin Apple.

Googlen salauskäytännöt oli ihan uskomattoman monimutkaiset. Niistä varmana löytyy myös ns. turvallisia vaihtoehtoja, mutta en oleta että ne olisi kyllä ainakaan oletuksena käytössä.
Cloud Key Management Service | Cloud Key Management Service | Google Cloud

Tämä on varmaan se, mitä jotkut käyttää, joita tietoturva kiinnostaa:
Customer-managed encryption keys | Cloud Storage | Google Cloud

Joskus noi luin läpi. Sanotaanko että normaalitilanteissa tuo niiden järjestely on todella hyvä, mutta eiköhän sinnekin ole jätetty ne backdoorit erityistilanteita varten. Tässäkin tapauksessa olisi parempi lähteä siitä, että tallennetaan vain jo aikaisemmin salattua tietoa.

Katsoin noi nopeasti läpi ja näyttää siltä, että edes nuo vaihtoehdot eivät auta. Koska omat avaimet siirretään silti Googlelle. Vähän kuten Keybasen idea, että upload your private key. Ha ha, NEVER!
 
Viimeksi muokattu:
250 million Microsoft customer service & support records exposed

Over the New Year, Microsoft exposed nearly 250 million Customer Service and Support (CSS) records on the web. The records contained logs of conversations between Microsoft support agents and customers from all over the world, spanning a 14-year period from 2005 to December 2019. All of the data was left accessible to anyone with a web browser, with no password or other authentication needed.

Aika näyttä nappasiko joku tämän, vai ei.
 

Mutta paljonko tuossa nyt oli niitä tunnistetietoja? Tuotahan oli anonymisoitu, mutta ei täysin kattavasti. Tuossahan, muistaakseni, oli anonymisoitu esimerkiksi simo.simakuutio@jotain.com, mutta ilmeisesti ei simo. Simakuutio. @ jotain com tms.

Mikä viittaa, joskus jotain (pseudo?)anonymisoineena siihen, että tuossa puhutaan tekstikentissä seassa olevista osoitteista, joita lienee rajallinen määrä. Toki jos mukana transkripteja, niin siellä voi olla enemmänkin, mutta kuinka hyödyllisiä ne on kenellekään on silloinkin vähän kysymysmerrki.
 
Tässäpä hyvä testi jos ajattelit VPN:n tai vastaavan piilottavan teikäläisen. Kertoo oletko uniikki ja täysin seurattavissa, riippumatta siitä mikä IP osoitteesi on.
AmIUnique
 
Tässäpä hyvä testi jos ajattelit VPN:n tai vastaavan piilottavan teikäläisen. Kertoo oletko uniikki ja täysin seurattavissa, riippumatta siitä mikä IP osoitteesi on.
AmIUnique
upload_2020-1-26_12-8-6.png

Ja all the time:
upload_2020-1-26_12-9-18.png

En tiedä laskeeko tuo pelkän qwerty näppäimistön vs azwerty vai katsooko koko näppäimistön layoutin kaikkine erikoisnappeineen ja fn-napin takana olevat myös?
 
Viimeksi muokattu:
Leaked Documents Expose the Secretive Market for Your Web Browsing Data
An Avast antivirus subsidiary sells 'Every search. Every click. Every buy. On every site.' Its clients have included Home Depot, Google, Microsoft, Pepsi, and McKinsey.

An antivirus program used by hundreds of millions of people around the world is selling highly sensitive web browsing data to many of the world's biggest companies, a joint investigation by Motherboard and PCMag has found.

Leaked Documents Expose the Secretive Market for Your Web Browsing Data


1580086523070-avastdata.jpeg
 
Every click you make, I'll be watching you..
 
MPY:ltä tuli päivitys kaapelimodeemiin, ei sen tarkempaa selitystä mitä päivitetty, mutta koska kyseessä CGA2121 niin veikkaisin että tilkitty tuo CableHaunt aukko.
 
Tässä hyvä ote siitä, miten paljon virallisilla viranomaissivustoilla on Englannissa vakoilua:
https://brave.com/wp-content/upload...on-UK-council-websites_compressed_version.pdf
Suomessakin on ollut muutaman kerran vastaavaa esillä, mutta kannattaa pitää silmät auki, ettei moinen pääse yleistymään.
mm. S-Pankilla oli jossain vaiheessa käytössä Google-analytics. Lähtökohtaisesti minkään luotettavan palvelun ei pitäisi ladata mitään vähemmän luotettavista 3rd party lähteistä.

Tarkistin juuri äsken mm. Kelan sivun ja sielläkin on kahdesta paikasta ulkopuolisia skriptejä. Poliisin sivuilla ladataan readspeaker palvelimelta allekirjoittamatonta koodia, jne. Noissa olisi parantamisen varaa.
 
Tässä hyvä ote siitä, miten paljon virallisilla viranomaissivustoilla on Englannissa vakoilua:
https://brave.com/wp-content/upload...on-UK-council-websites_compressed_version.pdf
Suomessakin on ollut muutaman kerran vastaavaa esillä, mutta kannattaa pitää silmät auki, ettei moinen pääse yleistymään.
mm. S-Pankilla oli jossain vaiheessa käytössä Google-analytics. Lähtökohtaisesti minkään luotettavan palvelun ei pitäisi ladata mitään vähemmän luotettavista 3rd party lähteistä.

Tarkistin juuri äsken mm. Kelan sivun ja sielläkin on kahdesta paikasta ulkopuolisia skriptejä. Poliisin sivuilla ladataan readspeaker palvelimelta allekirjoittamatonta koodia, jne. Noissa olisi parantamisen varaa.
Kyllähän se nykyään on törkeää tää datan kerääminen eri sivustoilla. Näitä varten on itsellä ollut vuosia käytössä uMatrix, hyvin näkee miten valtavasti eri sivut hakee/ajaa skriptejä ties mistä domaineista välillä. Tuo defaultina blokkaa kaiken tuollaisen, ja joskus sivut ei sitten toimi ellei salli ja sitten pitää miettiä onko sen arvoista...
 
Tässä hyvä ote siitä, miten paljon virallisilla viranomaissivustoilla on Englannissa vakoilua:
https://brave.com/wp-content/upload...on-UK-council-websites_compressed_version.pdf
Suomessakin on ollut muutaman kerran vastaavaa esillä, mutta kannattaa pitää silmät auki, ettei moinen pääse yleistymään.
mm. S-Pankilla oli jossain vaiheessa käytössä Google-analytics. Lähtökohtaisesti minkään luotettavan palvelun ei pitäisi ladata mitään vähemmän luotettavista 3rd party lähteistä.

Tarkistin juuri äsken mm. Kelan sivun ja sielläkin on kahdesta paikasta ulkopuolisia skriptejä. Poliisin sivuilla ladataan readspeaker palvelimelta allekirjoittamatonta koodia, jne. Noissa olisi parantamisen varaa.

Tuosta kelan sivujen toiminnastahan viikonloppuna olikin uutisoitu. Uutinen (taitaa olla maksumuurin takana).
Kela: Muutos verkkosivulle tulee lähiviikkoina

Kela aikoo muuttaa verkkosivujaan niin, että jatkossa käyttäjältä kysytään aktiivisesti suostumusta käyttäjätiedon hyödyntämiselle ja evästeiden käytölle.
Viestintäjohtaja Pipsa Lotta Marjamäki Kelasta kertoo, että kysely toteutetaan verkkobannerilla. Ne ovat tuttuja monelta verkkosivulta.
Marjamäki arvioi, että uudistus saadaan käyttöön lähiviikkoina. Hän kertoo sen viivästyneen teknisistä syistä.
Marjamäki myöntää, että Uutissuomalaisen haastattelema tietosuoja-asiantuntija on oikeassa.
– Jatkossa kela.fi-sivustolla käyttäjän pitää aktiivisesti antaa suostumus evästeiden käytölle ja datan hyödyntämiselle. Ennen tätä mitään evästeitä ei ladata hänen selaimelleen. Tarjoamme myös mahdollisuuden vaikuttaa esimerkiksi analytiikan ja kohdennetun viestinnän evästeisiin.
Kela käyttää evästeitä, koska se haluaa viestiä asiakkailleen juuri heitä koskevista ajankohtaisista Kela-asioista.
– Läpinäkyvyys on tässä kuitenkin keskeistä.

Liikenne- ja viestintävirasto Traficomista kerrotaan, ettei "virasto ole perehtynyt Kelan evästekäyt änteisiin sillä tasolla, että se voisi nyt ottaa kantaa niiden lainmukaisuuteen " .
Traficom vahvistaa saaneensa selvityspyyntöjä Kelan ja muiden v iranomaisten verkko sivu ista . Yhtä lukuun ottamatta niiden käsittely on kesken.
Traficomin vastauksissa Uutissuomalaiselle arvioidaan, ettei tietosuoja-asiantuntija Heikki Tolvanen anna täysin oikeaa kuvaa lainsäädännön soveltamisesta.
Virastolla ja Tolvasella on eri näkemys siitä, miten laki a, E-p rivacy-direktiivi ä ja yleis tä tietosuoja-asetu sta (GDPR) tulkitaan.
– E västeisiin sovelletaan GDPR:ää vain henkilötietoihin , ja niihinkin vain siltä osin kuin kansallisessa laissa ja E-p rivacyssä ei ole niistä säädetty , Traficom toteaa vastauksessaan Uutissuomalaiselle.
Tolvanen korostaa, että hänen tulkintansa on vahvistettu EU-komissiossa ja EU-tuomioistuimessa.

Ja tässä ylen tekemä juttu tietojen keräämisestä: click
Jutun kirjoittaja oli osallisen sitran tutkimuksessa.
 

Statistiikka

Viestiketjuista
257 514
Viestejä
4 475 312
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom