tiistai 10. kesäkuuta 2014

Valeuutiset hämäävät oikeitakin medioita

Periaatteessa jokainen tietää, ettei nettiuutisiin ole luottamista, mutta siitä huolimatta pilat ja tahalliset vääristelyt onnistuvat ajoittain hämäämään kokeneitakin nettikäyttäjiä.

Ja mikä vielä pahempaa: nykyään ne hämäävät myös ammattitoimittajia, joten edes lehtiin tai tv-uutisiin ei voi luottaa (no ei tietenkään ole koskaan voinut, mutta nyt tilanne on entistä pahempi, sillä valeuutisilla on tapana paljastua).

Parin viime viikon saldo on kerrassaan huolestuttava.

26.5.2014 CNN:n sivulla oli "uutinen" asteroidista, joka törmäisi maapalloon yli 50 prosentin todennäköisyydellä vuonna 2041. Uutista jaettiin ahkerasti sosiaalisessa mediassa. Monet hyvinkin kokeneet nettiaktiivit menivät halpaan. Jos he olisivat malttaneet lukea tekstin ennen jakamista, he olisivat ehkä huomanneet törmäyksen päivämäärän, joka oli 35. maaliskuuta. Se herätti omat epäluuloni ja jätin linkin jakamatta.

Asteroidi törmää maapalloon... NOT.
Juttu oli tietenkin täyttä puppua. Lukijoita hämäsi CNN:n osoite, joka yleensä takaa tietojen oikeellisuuden. Tässä tapauksessa kyse oli kuitenkin kansalaisjournalismista. Kumma, ettei CNN itse tullut ajatelleeksi tällaista kepposta antaessaan domain-nimensä kenen tahansa käytettäväksi.

Maikkarin uutistoimitus meni pahemman kerran retkuun 31.5.2014. Se uutisoi netissä jo kaksi viikkoa kiertäneen jutun, jonka mukaan autoteollisuus joutui romuttamaan valtavat määrät myymättömiä autoja. Paria päivää aiemmin saman oli kertonut Verkkomedia.org. Tuloksena oli nolo anteeksipyyntö. (Lisätietoa huijauksesta).

Näissä tapauksissa maalaisjärki ja yleinen elämänkokemus auttavat varovaista lukijaa. Mutta entä kun kyse on tiedemaailman valheista, joista harvalla on mitään taustatietoja?

Toissapäivänä Readingin yliopisto kertoi tietokoneen ensi kertaa läpäisseen ns. Turingin testin. Uutisen perusteella tämä oli merkittävä läpimurto tekoälyn kehittämisessä. Muutama kohta tekstissä tuntui mielestäni oudolta. Miksi 13-vuotias poika? Miksi vain 33 prosenttia tuomareista?

Pian kävi ilmi, että Readingin yliopisto oli vähintäänkin venyttänyt totuutta. Turingin testille ei ole selkeää määritelmää, joten yliopisto oli määritellyt ne itse. Lisäksi muut tutkijat olivat jo aiemmin kehittäneet ohjelmia, jotka onnistuivat testissä paremmin. Läpimurtona esitelty tulos oli siten hyvin kyseenalainen, eikä missään tapauksessa mediakohun arvoinen. Toimittajat menivät retkuun, koska eivät tunteneet asian taustaa ja olettivat, että yliopistoon voi luottaa. Ei voi.

Mitä siis tehdä? Toimittajien määrä on supistettu minimiin ja heidän tuottavuusvaatimuksensa ovat hurjat. Aikaa asioihin perehtymiselle tai edes faktojen tarkistamiselle ei jää. Niinpä kaikissa medioissa vastuu siirtyy yhä enemmän lukijoille.

Pari neuvoa kannattaa muistaa: kyseenalaista kaikki ja lue, ennen kuin jaat.

Lisäys klo 22: Tuore uutinen Irlannin orpokodin surmatuista vauvoista on sekin väärinkäsitystä. Tässä lähteenä ei kuitenkaan ollut nettisivu vaan toinen lehti. Kriittisyys kannattaa kaikissa medioissa.

torstai 5. kesäkuuta 2014

Vuosi Snowdenin paljastusten alkamisesta

Tänään tulee kuluneeksi vuosi Edward Snowdenin paljastusten alkamisesta. Ensimmäinen vuodettu asiakirja liittyi Yhdysvaltojen sisäisen puheluliikenteen analysointiin, eikä herättänyt Suomessa kovinkaan suurta huomiota. Sen sijaan toinen osui ja upposi -- PRISM-järjestelmän avulla NSA pystyi lukemaan suosittujen amerikkalaisten nettipalvelujen tietoja, vaikka yhtiöt itse kiistivät tämän.

Vuotta myöhemmin emme vieläkään tiedä, miten paljon Microsofti, Google, Facebook tai Dropbox lopulta tiesivät NSA:n urkintatekniikoista. Emme vieläkään tiedä urkinnan koko kuvaa, vaikka pystymme toki yhdistämään Snowdenin paljastamat pisteet. Niistä muodostuva kokonaisuus ei ole kaunis.

Snowden toivoi aloittavansa paljastuksillaan maailmanlaajuisen keskustelun urkinnan rajoista. Suomessa siitä ei ole juuri näkynyt merkkejä. Ainoa uutiskynnyksen ylittänyt asia on tiedustelulain valmistelutyö.

Sen sijaan Saksassa Snowden sai haluamansa. Merkelin puhelinkuuntelu ja maan oman tiedustelun läheiset NSA-yhteydet käynnistivät julkisen prosessin, joka eilen tulleen uutisen mukaan on nyt johtanut rikostutkintaan.

Suomalaisten välinpitämättömyydestä kertoo hyvin se, ettei juuri päättyneissä EU-vaaleissa tietosuojan tai NSA-paljastusten kysymyksiä käsitelty lainkaan. Yhdessäkään tv-tentissä ei sivuttu asioita, mutta kuulemma jossain vaalikoneessa oli sentään yksi kysymys asiasta.

Hampurissa tietosuoja- ja NSA-kysymykset kiinnostivat äänestäjiä, meillä ei.
Jos Snowden toivoi saavansa seuraajia muiden maiden tiedustelupalveluista, hän on joutunut pettymään. Odotamme yhä Venäjän, Kiinan tai Ruotsin Snowdenia. NSA sai kaiken kielteisen julkisuuden, vaikka esimerkiksi Merkelin puhelinta kuuntelivat uutisten mukaan neljän muunkin maan tiedustelupalvelut.

NSA-kohu on herättänyt paljon kritiikkiä Yhdysvaltoja kohtaan. Maan IT-yhtiöt ja sotateollisuus ovat menettäneet sen vuoksi kauppoja. Silti oletan, että USA kääntää asiat lopulta edukseen. Kielteisyydestään huolimatta vuodot ovat osoitus sananvapaudesta ja avoimuudesta, josta eräissä muissa maissa ei voi puhuakaan.

Lisäksi Hollywood on USA:n paras PR-toimisto. Sen elokuvat ovat aiemminkin pesseet CIA:sta sankarin, vaikka tämän NSA:n pahan isosiskon epäonnistumiset ja hölmöilyt ovat legendaarisia. Tuoreen uutisen mukaan Oliver Stone on jo tekemässä elokuvaa Snowdenista. Lienee turha odottaa kriittistä, dokumentaarista elokuvaa. Todennäköisesti tulossa on sokeroitu sankaritarina.

Pidän hyvin mahdollisena, että Snowden saa syksyllä Nobelin rauhanpalkinnon. Hän olisi oikea, moderni valinta, ja samalla Nobel-komitea korjaisi hyväuskoisuuttaan, joka johti Obaman palkitsemiseen vuonna 2009.

Suomen näkökulmasta on kiintoisaa, että viime vuoden suurin paljastus jäi Snowdenin varjoon. Lokakuussa uutisoitu Ulkoministeriön vakoilutapaus oli Suomen kannalta paljon merkittävämpi kuin Snowdenin vuodot. Erityisen kiinnostavaa olisi tietää, kuka vuoti tiedon medialle 31.10.2013 ja miksi juuri silloin.

Sitä tuskin saamme koskaan tietää. Suomen Snowden pysyy arvoituksena, ellei hän itse päätä tulla kertomaan motiiveistaan.

perjantai 30. toukokuuta 2014

Vanha niksi tiedonkalastelua vastaan toimii yhä

Eilen huomasin Facebookissa parin tutun levittävän epäilyttävää kutsua:

Suomenkielinen kutsu tutuilta hämää tehokkaasti.
Linkkiä napsauttamalla aukeni Facebookin kirjautumissivu, joka näytti varsin aidolta:

Kirjautuminen joulupukkina paljastaa huijauksen.
Mutta oliko se aito? Olen käyttänyt yksinkertaista kikkaa kalastelusivujen paljastamiseen: kirjoitan takuulla väärän käyttäjätunnuksen ja salasanan. Yleensä kalastelusivu ei tarkista, ovatko tiedot oikein, sillä tietojen validointi edellyttäisi kirjautumista oikeaan palveluun. Sitä ei ole aivan helppo ohjelmoida, eivätkä kalastelijat muutenkaan ole mitään ruudinkeksijöitä. Lisäksi kirjautumisskriptit kuormittaisivat konetta, joka on yleensä kaapattu palvelin.

Oikea Facebook antaisi vääristä tunnuksista virheilmoituksen, mutta kalastelusivu hyväksyi joulupukin mukisematta ja alkoi kysellä lisätietoja:

Minun isoisäni oli astronautti.
Varsinainen pihvi oli vasta viimeisellä sivulla:

Luottokortin tiedot, kiitos.
Ilmoitin kuvitteellisen luottokortin numerot -- tekeepähän hieman kiusaa hakkereille, kun yrittävät käyttää luottokortteja luvatta. Hyvässä lykyssä saman henkilön useat ostoyritykset väärillä numeroilla voivat johtaa jopa rosvon paljastumiseen.

Osa kalastelusivuista tarkistaa, että luottokortin numero on oikean näköinen. Vastaavasti netistä löytyy palveluita, joilla voi generoida kuvitteellisia, loogisesti oikeita luottokorttinumeroita kaikkine tietoineen.

Kun kalastelija oli saanut kaiken tarpeellisen, uhri palautettiin takaisin oikeaan Facebookiin, eikä hän luultavasti edes huomannut tulleensa huijatuksi. Sen jälkeen hänen tunnuksiaan alettiin käyttää uusien uhrien houkutteluun.

Väärien kirjautumistietojen kokeilu on yksinkertainen, mutta varsin toimiva kikka. Mainitsin siitä aamulla Twitterissä ja ilmeisesti niksiä pidettiin hyvänä, koska se sai paljon retwiittejä ja Digitoday teki siitä jopa uutisen.

Niksi Twitterissä.
Itse kikka ei ole mikään uutinen -- esittelin sen jo vuonna 2006 ilmestyneen Paranna tietoturvaasi -kirjani sivulla 298. Olen noin kymmenen vuoden ajan kokeillut kikkaa eri huijauksissa, eikä vielä ole tullut vastaan yhtään kalastelijaa, joka oikeasti tarkistaisi kalastelemiensa tunnusten toimivuuden reaaliajassa (tosin yksi huijaus tarkisti, että salasana oli riittävän pitkä). Yleensä tunnukset kerätään vain tekstitiedostoon, joka käydään imuroimassa myöhemmin parempaan talteen.

Ellei halua tehdä joulupukista uhria, voi tietenkin käyttää omaa tunnustaan -- kunhan salasana on varmasti väärä. Oman tunnuksen käyttö kertoo kuitenkin huijarille, että uhri on mennyt lankaan. Jos kyse on FB:n tapaan sähköpostiosoitteesta, se kertoo myös, että tälle henkilölle kannattaa lähettää huijauksia jatkossakin.

Kalastelut pitäisi ensi sijassa tunnistaa väärennetyn osoitteen, puuttuvan ssl-suojauksen tai jonkin muun tekijän avulla. Väärien tietojen hyväksyminen on varma merkki huijauksesta, mutta vaikka tuloksena olisi virheilmoitus, se ei vielä takaa palvelun aitoutta. Siksi kikka on vain yksi lisätekijä arvioitaessa palvelun luotettavuutta.

Tässä tapauksessa ensimmäisen sivun osoiterivi näytti oikealta, mikä varmaankin lisäsi huijauksen tehoa:

SIvun osoite on hämäävästi oikean näköinen.
Osoiteriville on saatu mahtumaan www.facebook.com, mutta todellinen domain on tässä tapauksessa com-gb.co.uk. Luulisi osoiterekisterien ylläpitäjällä olevan sen verran maalaisjärkeä, etteivät myöntäisi näin helposti huijattavia osoitteita lainkaan.

Yleensä kalastelusivut pyörivät kaapatuissa palvelimissa. Silloin kannattaa kokeilla toista kikkaa: osoiterivin perästä poistetaan kaikki ylimääräinen niin, että vain domain-osuus jää jäljelle. Jos kyse on huijauksesta, selaimeen ilmestyy kaapatun palvelimen oikea kotisivu. Tässä tapauksessa siitä on vain vähän hyötyä, sillä com-gb.co.uk:n kansisivu on aivan tyhjä. Ilmeisesti osoite on varattu juuri tätä huijausta varten..

Huolestuttavaa on se, että näin avoimesti huijaava sivu saa olla toiminnassa ilman, että se päätyy Firefoxin ja Chromen sulkulistalle.

Kirjautumissivun jälkeen palvelu vaihtaa toiseen, ilmeisesti kaapattuun osoitteeseen. Sen domain-nimi www.exsazen.com antaa selvän osoituksen vaarasta:

Toinen niksi: kokeile osoitetta pelkällä domain-nimellä.

maanantai 19. toukokuuta 2014

Tekijöiden ahneus haittaa suomalaista kulttuuria

Hesari kertoo, miten Yle on yrittänyt neuvotella Kotikatu-sarjan tekijöiden kanssa uudesta esityskierroksesta. Neuvottelut ovat vaikeita, sillä sarjaa tehtiin seitsemäntoista vuoden ajan ja jaksoja on lähes 600. Sopimusosapuolia on niin paljon, että kohtuulliseen tulokseen on vaikea päästä. Jokainen haluaa itselleen mahdollisimman paljon, jolloin kukaan ei saa mitään.

Ylen mukaan koko sarjan esittäminen maksaisi 30-40 miljoonaa euroa. Summa on aivan väärältä planeetalta aikana, jolloin sisällöstä on jatkuvaa ylitarjontaa. Jotta tekijänoikeuden markkinat voisivat toimia, sopimuksissa määriteltyjen korvausten pitäisi olla tätä päivää, eikä vanhoja sopimuksia voi muuttaa jälkikäteen ilman kaikkien osapuolten hyväksyntää.

Niinpä on helpointa jättää Kotikatu esittämättä, jolloin kukaan tekijöistä ei saa mitään. Vaikka kulttuurintekijöiden leipä on kapea, tällaista käyttäytymistä voi kutsua ahneudeksi.

Kotikatu ei ole yksin. Ylellä on paljon muitakin tallenteita, joita se ei voi julkaista levyllä eikä esittää sopimussyistä. Oopperan taltioinnit ovat kuulemma kaikkein hankalimpia, koska jokaiselle kuorolaisellekin pitäisi maksaa jokaisesta esityksestä.

Kohtuuttomat hintapyynnöt ja vanhaan maailmaan suunnitellut sopimukset haittaavat eniten tekijöitä ja esittäjiä itseään. Meillä katsojilla ja kuuntelijoilla ei ole pulaa tarjonnasta, pärjäämme mainiosti ilman Kotikatua ja oopperataltiointeja. Televisio, radio, Facebook ja Youtube ovat täynnä sisältöä. Harmi vain, että kotimainen kulttuuri jää entistä vähemmälle kansainvälisen sisällön rinnalla.

Jos ala ei ymmärrä omaa etuaan, tekijänoikeuslain muuttamisen voisi aloittaa tästä nurkasta. Miten se olikaan: järkeä tekijänoikeuslakiin?

Lisäys klo 14: Hesarin uutisen mukaan tekijät vaativat 30-40 miljoonaa euroa Kotikatu-sarjan kaikista oikeuksista. Niillä Yle voisi laittaa sarjan jaksot Yle Areenaan vapaasti katsottaviksi. Kyse on siis enemmän kuin pelkästä uusintaesityksestä.

Otetaan puolivälistä 35 miljoonaa. Onko se paljon vai vähän 588 jakson oikeuksista? Jakolaskun mukaan jokaisen 45 minuutin jakson oikeudet maksaisivat 59 500 euroa. Maallikon mielestä se tuntuu paljolta, kun kyse on jo televisiossa näytetyn sisällön oikeuksista, joka ei sisällä mitään tuotanto- ym. kustannuksia. Lähes 60 000 euroa jaettavaksi jokaisen jakson tekijöille, siis esim. pari tonnia pääosan esittäjille, satasia käsikirjoittajille, kuvaajille, äänittäjille, lavastajille...? Ja kaikki siis 588 kertaa. Miten ihmeessä summa voi nousta näin korkeaksi?

perjantai 16. toukokuuta 2014

Entinen poliitikko, lääkäri ja pedofiili hakeneet ensimmäisinä poistoa Googlesta

EU-tuomioistuimen Google-päätös tehoaa nopeasti. Koska kyse on voimassaolevan lain tulkinnasta, päätöksen vaikutukset näkyvät jäsenmaissa heti -- myös Suomessa.

Jos olen oikein ymmärtänyt, kuka tahansa suomalainen voi vaatia Suomen oikeudelta päätöstä itsensä kannalta vanhentuneen tai epäolennaisen tiedon poistamisesta Googlen hakutuloksista. Siinä on käräjäoikeudelle pohtimista, miten näitä kriteereitä tulisi tulkita!

Ylen uutinen tietää kertoa, että EU:ssa lääkäri, entinen poliitikko ja tuomittu pedofiili ovat jo vaatineet itselleen kielteisten tietojen poistamista hakutuloksista. Poliitikko haluaa tulla valituksi uudelleen eikä halua, että hakukone löytää netistä häntä arvostelevan artikkelin. Vastaavasti lääkäri vaatii potilaiden kirjoittamia kielteisiä arvioita poistettaviksi.

Jo heti ensimmäiset tapaukset osoittavat, miten ongelmalliseen tilanteeseen päätös johtaa. Onko oikein, että poliitikko voisi poistaa itseään arvostelleen artikkelin? Jos lääkäri on oikeasti huono, ketä palvelee se, että potilaiden kriittiset arviot poistetaan?

Entä pedofiili? Tuomio on ehkä kärsitty ja rikos yhteiskunnan näkökulmasta sovitettu, mutta pedofiili ei yleensä parane. Tieto voi olla vanhentunut, mutta se ei ole väärä. Epäolennaisuudesta voidaan olla monta mieltä.

Suomessa oikeuden päätökset ovat julkisia. Jos oikeus päättää, että Googlen pitää poistaa poliitikkoa koskeva kielteinen artikkeli, tieto tästä löytyy Googlella. Sekin pitäisi siis poistaa uudella päätöksellä. Jotta tuloksena ei olisi loppumaton noidankehä, oikeuden päätökset pitää joko salata tai ainakin estää hakukoneiden pääsy niihin robots.txt-tiedostolla. Sen jälkeen muitakaan oikeuden päätöksiä ei voi hakea.

Ylen uutisen referoimat tapaukset ovat vasta hakemuksia, eivät päätöksiä. Nähtäväksi jää, millaisen linjan paikalliset tuomioistuimet asiaan ottavat, ja miten korkealle poistokynnys asetetaan. Epäselvyys on mukavaa, asianajajat tykkäävät.

Tätä taustaa vasten kuulostaa erikoiselta, että Google olisi Saksassa luomassa lomakkeen, jolla henkilöt voivat itse jättää poistopyyntöjä. Eikö pyynnön pitäisi kiertää oikeusjärjestelmän kautta? Tai voisiko kyseessä olla Googlen kosto: tekemällä poistoista liian helppoa se osoittaa, millaisiin lieveilmiöihin päätös johtaa. Googlella itsellään on oikeus poistaa mitä tahansa, ilman oikeuden päätöksiäkin.

Kaikki eivät pidä EU-tuomioistuimen päätöstä huonona. Erityisesti yllätyin chicagolaisen lakiprofessorin kirjoituksesta, jossa hän toivoi samaa unohduslakia myös Yhdysvaltoihin. Lukijoiden kommenteissa toive sai tosin melko murskaavan vastaanoton. 

tiistai 13. toukokuuta 2014

EU-tuomioistuimen Google-päätös herättää isoja kysymyksiä

EU-tuomioistuin on tänään velvoittanut Googlea poistamaan hakutuloksista vanhentuneet, henkilöihin liittyvät tiedot. Hesarin mukaan "Kuka tahansa voi vaatia Googlea poistamaan vanhoja tietojaan".

Olen asiassa lehtitietojen varassa, eivätkä ne aina ole kovin täsmällisiä, mutta näillä tiedoilla päätös kuulostaa hyvin hankalalta. Tähän asti työnjako on ollut hyvin selvä: web-sivut tuottavat sisällön ja Google indeksoi ne. Jos sivuilla on vanhentunutta tai väärää tietoa, se pitää korjata sivulle eikä hakukoneen tuloksiin.

On huolestuttavaa, jos Googlen hakuindeksi alkaa erkaantua sivujen todellisesta sisällöstä. Sehän tarkoittaa käytännössä hakutulosten sensurointia. Ehkä niin tapahtuu jo nyt, sitä emme tiedä varmaksi, mutta juuri siksi hakujen takana olevaa logiikkaa pitäisi pikemminkin avata läpinäkyvämmäksi eikä samentaa entisestään.

Sisällön tuottaminen ja sivujen indeksointi ovat kaksi eri kokonaisuutta. Kyse on eräänlaisesta nettineutraliteetista, josta on viime aikoina käyty paljon keskustelua: voiko operaattori suosia tiettyjä sisältöpalveluita toisten kustannuksella? Nettineutraliteetin mukaisesti palvelut ja operaattorit tulee erottaa toisistaan. Nähdäkseni saman tulisi päteä myös nettisisältöön ja hakupalveluihin.

Taustalla saattaa olla tapauksia, joissa hakukone kaivaa lehden nettiarkistosta esimerkiksi vanhan tuomion, jonka henkilö on jo kärsinyt ja siten rangaistuksensa sovittanut.  Onko Googlen tehtävä estää tällaista tietoa löytymästä? Eikö oikea paikka olisi poistaa tieto lehden nettisivulta?

Jos Google joutuu poistamaan hakutuloksen, miten se käytännössä tapahtuu? Entä jos uutisessa (tai kyseisessä lehden sivussa) on jotain muuta mielenkiintoista, joka sekin lakkaa löytymästä? Eikö EU:n kannattaisi ensin velvoittaa lehtiä poistamaan nettiarkistoistaan vanhentuneet tiedot (mikä olisi yhtä ongelmallista sekin)?

On filosofinen kysymys, milloin jokin tieto on vanhentunut. Rangaistus saattaa olla vanhentunut, mutta tieto itsessään ei ole väärä. Miten pitkälle kiusallisten tai tiedoiltaan muuttuneiden tapahtumien jälkikäteen peukaloinnissa voidaan mennä? Voin kuvitella, että aika moni meistä haluaisi Googlen olevan löytämättä jotain omaa hölmöilyään. Kaikki ikävät tiedot ovat "vanhentuneita", joten Googlea voi vaatia poistamaan ne.

Koskeeko päätös kaikkia EU-alueella toimivia hakukoneita? Entä miten käy Internet Archiven, jossa on kopio vanhoista sivuista, pitääkö nekin poistaa? Mitä päätös merkitsee tutkivalle journalismille?

Sitten voi vielä kysyä, onko EU:n kannalta mielekästä lähteä sääntelemään amerikkalaista hakukonetta omien oikeusperiaatteidensa mukaisesti? Tällä lähestymisellä ei ainakaan edistetä eurooppalaisten digimarkkinoiden syntymistä.

Tietosuojavaltuutettu piti tv-uutisissa päätöstä hyvänä. "Nyt tuli työkalu puuttua ongelmaan" (jolla nettisivuja saadaan poistettua hakutuloksista). Minusta tämä kuulostaa huolestuttavalta. Työkalun pitäisi löytyä muualta kuin Googlelta.

keskiviikko 16. huhtikuuta 2014

James Bond, aina yhtä suuri tv-suosikki

Bond-elokuvia alettiin näyttää Suomen televisiossa joskus 1980-luvun lopussa. Sitä ennen elokuvia näki vain teattereissa, joihin vanhatkin leffat saapuivat yhä uusille esityskerroille. Nyt niitä esitetään noin kolmen tai viiden vuoden välein (elokuvasta riippuen) yhä uudelleen ja uudelleen.

Onkohan Suomessa ketään aikuista, joka ei olisi nähnyt ainakin muutamaa Bondia? Silti tv-esitykset keräävät ällistyttävän paljon katsojia. Tällä hetkellä Bondit pyörivät Nelosella lauantain primetime-aikaan klo 21 alkaen. Viikosta riippuen Bond-leffa on kanavan 2-7. katsotuin ohjelma.

Muutaman viimeksi nähdyn leffan katsojaluvut ovat Finnpanelin mukaan seuraavat (tuhansia):

Elä ja anna toisten kuolla 304 (839)
Kultainen ase 364 (885)
Rakastettuni 299 (884)
Kuuraketti 190 (653)
Erittäin salainen 354 (950)
Älä kieltäydy kahdesti 276 (795)
Kuoleman katse 277 (784)

Ensimmäinen luku on varsinainen katsojamäärä, suluissa ns. tavoittavuus (montako katsojaa katsoo ainakin jonkin aikaa).

Sarasvuon talk-show lopetettiin, kun sen katsojamäärä putosi sataan tuhanteen (= 1 Sv). Näistä elokuvista laskien Bondin suosio on ollut vähintään 1,9 ja korkeimmillaan jopa 3,6 Sv:tä. Kilpailu katsojista on tietysti erilaista lauantai-iltana verrattuna torstai-iltaan, mutta luulisi jokaisen kanavan esittävän parastaan juuri tuolloin.

Ylen Ykkösestä ei tosin ole kilpailijaksi, Morsen uusinnat 1980- ja 1990-luvuilta ovat nykykatsojan mielestä verkkaisia ja liiankin brittimäisiä. Lisäksi niiden kuvanlaatu on nykystandardien mukaan perin kehno. Morse ei yllä Yle 1:n top 20 -listalle, mutta toisaalta se loppuu 4,1 Sv:n kohdalle. Ylellä 20. katsotuin ohjelma sai lähes yhtä paljon katsojia kuin Nelosen katsotuin.

Miksi ihmiset katsovat samoja Bondeja yhä uudelleen? Sen täytyy kertoa elokuvien suosiosta. Hyvin tehtyä sisältöä katsoo uusintoinakin useaan kertaan. Kotimainen sisältö joutuu kilpailemaan tämän kanssa. Kanavalle on halvempaa näyttää vanhoja bondeja ja myydä niihin mainoksia kuin ostaa kotimaisia tuotantoja ja toivoa, että niistä tulee menestyksiä. Harvoista tulee. Mustat lesket on ilahduttava poikkeus, katsojia viime viikolla 5,0 Sv (tavoittavuus 7,2 Sv) ja kanavan katsotuimman ohjelman titteli.

Vaikka bondit ovat ties monennellako uusintakierroksella, niitä kelpaa nytkin katsella. Tarjolla on nimittäin ensi kertaa elokuvien teatteriversiot digitaalisesti restauroituina.

Edellisellä esityskerralla 2.5.2009 Kuoleman katse näytti tältä:

Bond 2011.
Viime lauantaina 12.4.2014 esitetty versio tältä:

Bond 2014.
Ero on tuntuva. Vielä suurempi ero on 90-luvun esityskertoihin, jolloin tarjolla oli leffojen kapeat 4:3 versiot. Niissä kaikki päähenkilön ympärillä oleva rajautui pois. Kamalaa.

Restauroinnin vaikutus näkyy hyvin vanhoissa 1960-luvun elokuvissa, kuten tässä helmikuussa esitetyssä Hänen majesteettinsa salaisessa palveluksessa:

Bond 2008 ja 2014.
Ehkä vuoden 2017 kierrokselle saamme jo HD-versiot ja monikanavaäänet?

perjantai 11. huhtikuuta 2014

Heartbleed, tietoturvan kohuviikon huipennus

NSA-kirjan valmistumisen jälkeen on taas enemmän aikaa bloggaamiselle.

Tämä viikko (7-13.4.2014) on ollut tietoturvan kohuviikko. Ensin kaiken huomion sai Windows XP:n tuen loppuminen ja siitä seuraavat tietoturvariskit. Samana päivänä (8.4.) tulivat julki tiedot suomalaisten ja Googlen löytämästä ns. Heartbleed-aukosta, jonka vaikutukset ovat moninkertaisesti suuremmat kuin vanhan XP:n riskit.

Heartbleed on mielenkiintoinen monellakin tavalla. Onnittelut oululaiselle Codenomiconille sen löytämisestä ja eritoten hyvästä viestinnästä. Heartbleedistä tuli it-historian ensimmäinen brändätty turva-aukko. Codenomiconin ansiosta bugi sai kuvaavan logon ja helposti muistettavan nimen. Suomalaiset ovat aina olleet hyviä tekniikasta, mutta nyt näköjään kansainvälinen viestintäkin on hallinnassa. Tämä on kerrassaan loistava juttu! Codenomicon toi monta näkyvää sulkaa Suomen tietoturvaosaamisen hattuun. Kansainvälinen tietoturvamaine on muutakin kuin urkintaa tai sen puutetta.

Bugi on ollut avoimessa koodissa kaksi vuotta kenenkään huomaamatta. Usko siihen, että avoin koodi olisi automaattisesti turvallista koska niin moni voi tarkistaa sen, osoittautui vääräksi. Itse asiassa NSA tai kuka tahansa voi lisätä kriittiseen koodiin tahallisia turva-aukkoja ja hyödyntää niitä pitkään, ennen kuin asia paljastuu.

OpenSSL-aukko olisi hyvin voinut olla NSA:n työtä. Ilmeisesti virheen tehnyt ohjelmoija on kuitenkin saksalainen, eikä hänellä ole NSA-yhteyksiä. Mutta kuka tietää, mitä kulissien takana oikeasti on tapahtunut?

Turva-aukot saavat paljon huomiota mediassa, ovathan ongelmat ja riskit aina uutisen arvoisia. Median mukaan kyseessä on nettihistorian suurin ja vakavin turva-aukko. Ihmisiä kehotetaan jälleen vaihtamaan salasanat Facebookiin, Twitteriin ja kaikkiin tärkeisiin palveluihin. Uutisoinnin pohjanoteeraus on tämä Voicen artikkeli, jossa aukkoa kutsutaan virukseksi. Sen sijaan hyvä artikkeli löytyy Washington Postista.

Heartbleed on siinä mielessä loistava turva-aukko, että kerrankin käyttäjän ei tarvitse päivittää mitään. Kaikki työ jää web-palveluiden ylläpidon vastuulle. Älypuhelimista tai työasemista Heartbleedin käyttö olisi erittäin vaikeaa.

Missään en ole nähnyt tarkkaa kuvausta siitä, miten Heartbleed-bugia oikeasti voi hyödyntää. Voi olla, että OpenSSL-kirjastoa käytetään 66 % nettipalveluista, mutta kyse on vasta teknisestä haavoittuvuudesta. Riski syntyy siitä, miten helppo Heartbleediä on hyödyntää ja miten vakavaa vahinkoa sillä voi saada aikaan.

Heartbleedin avulla palvelimen muistin sisältöä voidaan "lypsää" sitä sopivasti kysyvälle ohjelmalle. Tulokset ovat satunnaisia. Voi olla, että hyökkääjä saa pelkkää bittiroskaa. Toisaalta hän voi saada edellisten käyttäjien tunnuksia, salasanoja ja jopa palvelimen omat salausavaimet. Pahinta on, ettei tästä jää mitään merkkejä palvelimen lokiin. Ylläpidon on siis mahdotonta tietää, onko heiltä lypsetty salaista tietoa. Havainnollinen kuva asiasta on täällä, hyvä selitys suomeksi myös täällä.

Hyökkäyksen kohdistaminen tiettyyn käyttäjään on kuitenkin vaikeaa. Hyökkääjän pitäisi ensin saada uhri ottamaan yhteyttä omaan koneeseensa ja sen jälkeen jatkaa Man-in-the-middle-tekniikalla suojatulle palvelimelle. Ei kovin helppoa.

Lisäksi on mahdollista hyökätä OpenSSL:ää käyttäviä kuormanjakopalvelimia vastaan ja saada -- jälleen kerran satunnaisten -- ihmisten tunnuksia. Toisaalta kaikki OpenSSL:ää käyttävät ohjelmistot eivät hyödynnä kirjaston Heartbeat-ominaisuutta, joten niissä vaaraa ei ole.

Vaikka haavoittuvuus on vakava, sen hyödyntäminen on jossain määrin onnen kauppaa ja vaatii sen verran yritystä, että tuskin kukaan jaksaa nähdä vaivaa Facebookin tai Twitterin salasanojen vuoksi. Pankkipalvelut ovat sitten toinen juttu.

Pahinta, mitä hyökkääjä voi Heartbleedin avulla saada, on palvelimen oma SSL-avain. Sillä pystyisi avaamaan kaikki aiemmat (jos niiden salattu liikenne on kaapattu ja tallennettu) sekä tulevat SSL-salatut yhteydet. En pysty arvioimaan tämän riskin suuruutta, oletan sen aika pieneksi. Lisäksi PFS-tekniikkaa (Perfect Forward Secrecy) käyttävät avaintenvaihtoprotokollat ovat suojassa. Niitä käyttävät mm. Facebook ja Nordea palveluissaan.

Lisäys klo 18.15: SSL-avaimen vuotaminen saattaa olla jopa kokonaan mahdotonta.

Lisäys klo 23.30: Onpa muuten hassua, että kerrankin Microsoft ei liity mitenkään tietoturvariskiin. Itse asiassa juuri sen web-palvelimet ovat niitä turvallisia, ja asiakaspään käyttöjärjestelmällä ei ole merkitystä. (Oliko vain sattumaa, että Codenomicon julkisti haavoittuvuuden juuri XP:n tuen päättymispäivänä, kysyy tämä sivusto).

Ja ihan toinen juttu -- em. Vergen lukijapalautteista poimin seuraavan: "Look, I don’t want to say heartbleed is not dangerous and might have caused a lot of harms, we simply don’t know yet. The media did a lot of fear mongering and took it to the extreme. The final nails in the coffin was when my wife (a nurse) a non-technical person came home the other day hysterically about how everything was compromised and some news network advised people emptying out their accounts until everything was fixed to protect themselves. Needless to say, I was pretty upset about the whole thing and the damaged those folks caused. It took hours of convincing to stop her from going to the bank the next morning to do exactly that. What a mess."

Lisäys 12.4.14 klo 8: Iltalypsy kannattaa - suomalainen Ilkka Mattila oli toinen, joka osoitti salaisen avaimen hankkimisen mahdolliseksi: https://www.cloudflarechallenge.com/heartbleed Jälleen yksi sulka myös Suomen tietoturvaosaamisen hattuun. Hienoa!

perjantai 14. maaliskuuta 2014

Suomesta datakeskusten Kiina?

Suomeen on mahdollisesti tulossa jälleen uusi datakeskus, joka on niin suuri, että Googlen Haminan-yksikkö kalpenee sen rinnalla. Uuden keskuksen sähköntarve olisi peräti 900 GWh vuodessa.

Suomi houkuttelee maahan datakeskuksia, koska meillä on tarjota vakaa kallioperä, rauhalliset olot, telealalla selkeä lainsäädäntö -- ja ennen kaikkea halpaa sähköä. Energia maksaa meillä puolet siitä mitä Keski-Euroopassa.

Datakeskukset ovat tervetulleita varsinkin Pohjois-Suomeen ja entisille teollisuuspaikkakunnille, missä suuret hallit odottavat uutta käyttöä. Valitettavasti datakeskusten työllistävä vaikutus on vähäinen, sillä laitokset eivät juurikaan tarvitse henkilökuntaa. Ylläpito tehdään etähallintana toisesta maasta. Suomessa tarvitaan lähinnä vartijoita, sähköasentajia ja perustason IT-osaamista, sekä tietenkin työmiehiä rakennusvaiheessa.

Olemme tyytyväisiä, kun ulkomaiset IT-jätit tuovat koneensa Suomeen. En ole nähnyt missään kokonaisanalyysiä datakeskusten vaikutuksista. Ehkä sellainen kannattaisi tehdä? Pitäisi listata hyödyt ja haitat datakeskuksen koko elinkaaren ajalta.

Vaarana on, että Suomesta tulee datakeskusten Kiina, johon kehittyneet maat tuovat haitallisen teollisuutensa halvan sähkön perässä. Samalla, kun muu teollisuus pyrkii alentamaan omaa kulutustaan, datakeskusten suuri kulutus on tärkeän keskuksen merkki ja siten hienoa Suomelle.

Uusimman keskuksen energiakulutus olisi samaa luokkaa Suomen sähköjunien tai kesäasuntojen energiankulutuksen kanssa. Muutama sellainen, niin joudumme rakentamaan uuden ydinvoimalan pelkkiä datakeskuksia varten.

On myös vaara, että datakeskusten lisääntyneen kulutuksen myötä joudumme tinkimään muusta energiankulutuksesta, jotta CO2-vähennysten tavoitteet saavutettaisiin.

Datakeskusbisnes on viime kädessä energian myyntiä. Työllistävä vaikutus on vähäinen ja oma jalostusarvo nolla. Aiemmin Suomea kritisoitiin siitä, että veimme puutavaraa maasta emmekä kehittäneet siitä korkeamman lisäarvon tuotteita. Datakeskuksiin verrattuna raakapuun vientikin on hyvää bisnestä, sillä puut kasvavat itsestään takaisin.

Sähköstä peritään energiaveroa, jonka tuotto jää Suomeen. Suurimmat, yli viisi megawattia kuluttavat datakeskukset haluttaisiin saada teollisuuden maksaman alemman veron piiriin, mikä houkuttelisi lisää suuria keskuksia. Veronalennuksen kustannus valtiolle olisi noin 10 miljoonaa euroa vuodessa.

Jostain syystä datakeskuksia käytetään perusteluna sille, miksi Suomen ei pitäisi säätää tiedustelulakia. Väitetään, että verkkotiedustelu karkottaisi keskukset Suomesta. Kyse on ilmeisesti suomalaisten omasta päättelystä, sillä en ole nähnyt datakeskuksia perustavien yritysten ottaneen koskaan kantaa asiaan. Kansainvälisiä jättejä kiinnostavat sähkön hinta ja maan turvallisuus. Urkintaa ne kohtaavat joka tapauksessa, viimeistään heti kun bitit ylittävät Suomen rajan.

Vaikka Suomella ei olisi verkkotiedustelua lainkaan, datavirrat ulkomaille kulkevat Ruotsin läpi, jossa FRA seuraa niitä. Eikä FRA estänyt Facebookia rakentamasta omaa keskustaan Luulajaan.

Tiedustelulailla voi kuitenkin olla epäsuoraa vaikutusta datakeskuksiin, sillä osaltaan ne joko tukevat tai nakertavat käsitystä Suomesta tietoturvallisena maana. Tämä on imagoasia.

On myös mahdollista, että datakeskusten läheisyyteen syntyy jatkossa paikallista osaamista. Vielä sitä ei ole näkynyt.

Koska vaikutuksia löytyy molempiin suuntiin, olisi hyvä saada asiasta tarkempi selvitys ennen kuin myymme maamme ja energiamme muiden käyttöön.

torstai 6. maaliskuuta 2014

Suomi Android-turvan peränpitäjä?

F-Securen uhkaraportti Threat Report H2 2013 antaa kiinnostavan tiedon: Suomi on Euroopan peränpitäjä Androidin turvallisuudessa. Raportin mukaan Suomessa tehtiin peräti viisi prosenttia kaikista Android-haittaohjelmahavainnoista. Seuraavalla sijalla oli Saksa, jonka osuus oli vain 3,2 %.

Suomen luku kuulostaa hurjalta, etenkin kun juuri edellisellä viikolla Suomen tietoverkkoja kehuttiin maailman puhtaimmiksi. Mikä saa suomalaiset sössimään mobiilissa?

F-Securen raportin mukaan 10 pahinta maata tuotti 6-12/2013 yrityksen järjestelmään yli 140 000 ilmoitusta Android-haittaohjelmista. Pahimmat maat olivat Intia ja Saudi-Arabia, joista tuli 75 % ilmoituksista.

Ymmärtääkseni kyse on F-Securen asiakkaiden tekemistä havainnoista, joten luvut ovat luonnollisesti korkeita siellä, missä yhtiön markkinaosuuskin on korkea. Tämä selittäisi Suomen osuutta. Mutta silti 5 % vastaa peräti 7000 havaintoa puolen vuoden ajalta (ja 14 000 havaintoa vuodessa). Se on paljon.

Onko 7000 suomalaista tosiaan saanut vuoden 2013 jälkipuoliskolla Android-haittaohjelman puhelimeensa? Luku tuntuu suurelta etenkin siksi, että raportin mukaan lähes kaikki haittaohjelmat leviävät ulkopuolisen tahon sovelluskauppojen kautta. Googlen oman Play-kaupan kautta tuli haitoista vain 0,1 %.

Ovatko suomalaiset siis ryhtyneet joukolla käyttämään muita kuin Googlen omaa kauppaa? Jos, niin miksi näin on tapahtunut?

Oletetaan, että Suomessa on miljoona Android-puhelinta. 7000 virushavaintoa tarkoittaa ilmoitusta joka 140. puhelimesta. En tiedä, mikä on F-Securen Android-turvaohjelman markkinaosuus, mutta se ei ole lähelläkään sataa prosenttia. Niinpä todellisten Android-tartuntojen määrä on paljon suurempi. Jos markkinaosuus on vaikkapa 20 %, kaikista Suomen Android-puhelimista 35 000 olisi saanut (tai ainakin nähnyt) haittaohjelman viime vuoden jälkipuoliskolla. Todennäköisesti turvaohjelma on vain muutamassa prosentissa Suomen Android-puhelimista, jolloin esim. 2 % saataisiin haittojen määräksi 350 000.

Ovatko Android-haittaohjelmat todella näin yleisiä? Vai mikä selittää lukuja?

Lisäys klo 15: Hmm... F-Securen turvaohjelma on tällä hetkellä saatavilla vain Androidiin. Ei siis ihme, että 97 % sen havaitsemista haitoista on peräisin Android-puhelimista. Luku kertoo enemmän turvaohjelmasta kuin mobiilialustojen turvallisuudesta (vaikka kukaan tuskin kiistää etteikö Android olisi alustoista turvattomin).

Mikko Hyppösen Twitterissä antaman kommentin mukaan "Suurin osa näistä [havaituista haittaohjelmista] oli trojanisoituja versioita oikeista applikaatioista (lähinnä peleistä)".

Lisäys klo 17: Uuden twiitin mukaan kyse onkin web-sivuista, jotka tyrkyttävät puhelimeen haitallista apk-ohjelmapakettia.