tiistai 14. elokuuta 2018

Kuviani ja tekstejäni saa jatkossakin käyttää opetustoimessa

EU-tuomioistuin päätti, ettei netistä kopioitua kuvaa saa julkaista netissä ilman valokuvaajan lupaa - ei, vaikka kyse olisi koulun oppilastyöstä. Asiassa ei pitäisi olla mitään epäselvää, näinhän se on aina ollut.

Jos asia olisi jäänyt tähän, olisin unohtanut koko jutun. Mutta sitten näin Kopioston oudon twiitin:




Siis: "Opettajille tiedoksi: EU-tuomioistuimen viimeviikkoinen päätös valokuvan käytöstä vahvisti nykyisen toimintatavan. Kopiointiluvallamme koulutöitä saa jatkossakin elävöittää kuvilla."

Mitä tässä oikein yritettiin sanoa? Kopioston maksullisella luvalla koulut voivat käyttää opetuksessa netistä kopioitua aineistoa, mutta lupa koskee vain koulujen sisäistä käyttöä. Kopioitua aineistoa ei edelleenkään saa jakaa verkossa (esim. julkaisemalla oppilastöitä julkisella verkkosivulla -- tapaus, josta EU-tuomioistuin antoi alussa mainitun päätöksen).

Joitakin vuosia sitten Kopiosto sai oikeuden rahastaa kouluja "nettiluvasta", joka oikeuttaa kopioimaan netistä kuvia ja tekstiä opetustyöhön. Opettaja voi käyttää aineistoa tunnilla ja oppilaat voivat lisätä netistä kuvia omiin harjoitus- ja projektitöihinsä. Kopiosto kerää tästä hyvästä maksua, jonka se sitten tilittää omien periaatteidensa mukaisesti.... niin, en tarkalleen tiedä mihin. Luultavasti apurahoina ja muina tukina toisille tekijöille.

Musiikin puolella tämä ns. kollektiivilisenssi on ollut käytössä vuosikymmeniä. Siellä käytäntö toimii, koska julkiset esittäjät (radiokanavat, bändit, tapahtumat) pitävät kirjaa käyttämästään musiikista ja tekijänoikeusjärjestöt tilittävät korvaukset henkilöille, joille ne kuuluvat.

Nettipuolella ei ole vastaavaa mekanismia. Kopiosto ei voi tietää, kenen teoksia kouluissa on kopioitu ja mihin niitä on käytetty. Käytännössä Kopiosto siis myy oikeuksia toisten teoksiin ja kerää siitä rahaa itselleen (jakaen sitä tekijöille). Kopioston maksulla saa kopioida myös ulkomaisilta sivuilta, vaikka niille ei tilitetä mitään korvauksia. Olisi kiinnostavaa tietää, onko muissa maissa vastaava käytäntö.

Olen kirjoittanut aiheesta jo seitsemän vuotta sitten, kun järjestelmää rakennettiin, eikä se tänään tunnu yhtään oikeudenmukaisemmalta. Esimerkiksi minun nettiin laittamiani kuvia ja tekstejä saa Kopioston myymällä luvalla käyttää minulta lupaa kysymättä, eikä minulle liioin makseta mitään.

En ole maksua vaatinutkaan. Ainakin kahdesti tekstini on ollut ylioppilaskokeen aineistona. Pidän sitä hyvänä asiana, koska olen saanut valtiolta käytännössä ilmaisen koulutuksen aikana, jolloin se kotiolojeni vuoksi oli erittäin arvokasta. Jos voin maksaa jotain takaisin, olen siitä vain iloinen.

Tekijä voi kieltää Kopiostoa myymästä lupia omiin teoksiinsa. Yksityishenkilön kannalta kiellolla ei ole merkitystä, sillä oppilaat eivät tarkista, onko heidän kopioimansa kuva peräisin kielletyltä sivulta, eikä Kopiosto liioin tilitä käytöstä mitään, vaikka kieltoa ei olisi.

Entistä sekavammaksi asia menee mm. Creative Commons -lisenssien vuoksi. Niillä jokainen tekijä voi itse antaa tai rajoittaa teostensa luvallista käyttöä. Spesifinen CC-lisenssi ajaa Kopioston yli. Kopioston yleistä lupaa käytetään vain aineistoihin, joiden lupia ei ole määritelty muilla tavoilla.

En ole varma, onko Kopioston myymä "kopiointilupa" (miten voi antaa luvan sellaiseen, mitä ei omista?) koulujen kannalta hyvä asia. Ainakin se totuttaa oppilaat ajatukseen, että netistä saa vapaasti kopioida omiin töihin melkein mitä vain. Tämä erikoisasema koskee vain opetuskäyttöä, ei työelämää (joskin kopiointi yksityiseen käyttöön on taas sallittu muista syistä).

Kopioston kouluilta perimät maksut rahoitetaan opetusministeriön rahoista. Miksi rahan pitää kiertää Kopioston kautta? Eikö avustuksia ja tukia voisi maksaa suoraan ministeriöstä?

Arvostan suuresti opettajien työtä ja siksi annan täten kirjallisesti luvan käyttää tuottamaani aineistoa (lähde mainiten ja moraalisia oikeuksia kunnioittaen) opetuskäytössä jatkossakin, ilman Kopioston myöntämiä lupia. (Noin! Nyt se on tehty, eikä mikään käytännössä muuttunut)

keskiviikko 8. elokuuta 2018

Varo lippuhuijausta netissä

Sain jokin aika sitten sähköpostia henkilöltä, joka oli ostanut kaksi online-lippua festivaaleille (ilmeisesti netin kautta yksityishenkilöltä). Lipuissa oli nimeni ja sähköpostiosoitteeni, joten hän halusi varmistaa, että liput olivat aitoja.

Eivät tietenkään olleet. Joku oli löytänyt netistä pari vuotta sitten laittamani kuvan lipusta (väärennetty-teksti nyt lisätty, jotta kukaan ei käyttäisi tätä uudelleen):

Väärennetty lippu.
Hän oli vaihtanut tekstit festaria varten ja myynyt liput 150 eurolla. Onneksi ostaja huomasi kysyä asiaa etukäteen, muutoin portilla olisi odottanut ikävä yllätys. Kertoi tekevänsä huijauksesta rikosilmoituksen, toivottavasti tekijä jäi kiinni.

Mitä tästä opimme? Älä osta netistä lippuja tuntemattomilta henkilöiltä. Niiden väärentäminen on helppoa.

Toinen opetus: älä laita lippujen kuvia nettiin (koskee myös lentokoneiden boarding passeja, joita joskus postataan sosiaaliseen mediaan hyvissä matkalle lähdön fiiliksissä).

tiistai 7. elokuuta 2018

Facebook heitti vihdoin Infowarsin ulos palvelustaan

Facebook, Youtube, Apple ja Spotify heittivät vihdoin Infowarsin ulos palvelustaan, kertoo Foxin uutinen. Vuonna 1999 aloittanut Infowars henkilöityy Alex Jonesiin, joka on omissa kanavissaan mm. sitkeästi väittänyt, että Sandy Hookin joukkosurmassa kuolleet lapset olivat näyttelijöitä ja että koko tapaus oli lavastus, jolla hallinto pyrkii keräämään aseet pois kansalaisilta.

Foxin uutinen aiheesta.
Somepalveluita on vaadittu rajoittamaan valeuutisten, vihapuheen ja roskan levittämistä. Ne ovat itse siihen haluttomia eivätkä halua ryhtyä päättämään, mikä sisältö on riittävän väärää.

Somejäteille mikä tahansa sisältö kelpaa, kunhan se houkuttelee käyttäjiä ja saa heidät viettämään aikaa sivuilla. Tällainen ajattelu on vastuutonta. Aivan kuten yrityksetkään eivät voi loputtomasti saastuttaa ympäristöään, Facebookin kaltaiset yhtiöt eivät voi kasvattaa voittojaan millä tahansa keinoilla. Ne ovat jo nyt tarkkoja sisällöstä, silloin kun suodatus sopii niille itselleen. Esimerkiksi Youtube ei hyväksy omatekoisia videoita, joissa on tekijänoikeuden alaista musiikkia.

Salaliitto- ja huuhaa-aiheilla ratsastava Infowars edustaa oikeistolaista äärilaitaa ja vaalikampanjan aikana Donald Trump kehui häntä julkisesti. Infowars on vain jäävuoren huippu, siksi sen kohtaloa somekanavissa seurataan mielenkiinnolla ja asia herättää USA:ssa poliittisia intohimoja. Onko oikein, että Kalifornian liberaalit nettipalvelut voivat rajoittaa koko maan oikeistolaista viestintää?

Apple ja Spotify poistivat Infowarsin podcastin jakelustaan, Youtube ja Facebook kanavat sivuiltaan. Facebookin perusteluna oli sen omien sääntöjen rikkominen: "glorifying violence, which violates our graphic violence policy, and using dehumanizing language to describe people who are transgender, Muslims and immigrants, which violates our hate speech policies."

Moni suomalainen nettisoturi näyttää uskovan, että poistot ovat sananvapauden rajoittamisesta. Ei ole. Sananvapaus on valtion käsite, ei yrityksen. Yrityksenä Facebookilla ja Googlella on oikeus valita asiakkaansa eikä niiden tarvitse välittää sananvapaudesta.

Yrityksiä sitoo laki, jonka nojalla niiden tavoitteena pitää olla voiton tuottaminen osakkeenomistajille, ts. yritysten pitää ajatella omistajien parasta (lain sallimissa rajoissa tietenkin). Yrityksen brändin tahraaminen roskalla on osakkeenomistajien edun vastaista. 

Facebookilla ei ole velvollisuutta antaa tilaa Infowarsin valheille, vaan päinvastoin velvollisuus lopettaa niiden levittäminen. Mutta kumpikaan ei johdu sananvapaudesta.

Infowars on itsekin yritys. Alex Jones on tehnyt ison bisneksen roskasisällöstä eikä varmaan itsekään usko väitteitä, joita sivuilla ja radio-ohjelmassaan levittää. Mutta ne tuovat rahaa. Entä jos Infowarsia vaadittaisiin sananvapauden nimissä julkaisemaan myös vasemmistolaisia näkemyksiä? Onko sillä oikeus itse päättää, mitä palvelussa saa julkaista?

Joitakin näyttää ärsyttävän se, että rajoittaminen kohdistuu juuri äärioikeiston sisältöön. Miksei yhtä lailla äärivasemmistoon? Ilmeisesti sillä ei nähdä yhtä suurta vaikutusta. Jos äärivasemmisto tai jokin muu ääriajattelu alkaa tahrata yrityksen brändiä, osakkeenomistajat velvoittavat johdon toimimaan. Kuinka monta amerikkalaista äärivasemmistolaista infowarsia osaat itse luetella?

Asia ei silti ole helppo. Viime kuussa Zuckerberg aiheutti myrskyn kieltäytymällä poistamasta holokaustiin liittyviä sivuja sanoen, että joskus ihmiset vain ymmärtävät asiat väärin. Holokaustin kieltäminen voi meistä tuntua pieneltä asialta, mutta esimerkiksi Saksassa sen kieltäminen on lailla kriminalisoitu ja myös Facebook joutuu noudattamaan lakia Saksan alueella. Zuckerberg on itse juutalainen. 

Someyhtiöt eivät ole hyväntekijöitä eivätkä sananvapaustaistelijoita. Ne ovat pelkkiä yrityksiä, mikä tahtoo usein unohtua. Niillä on kuitenkin valtaa, eikä yrityksille kertynyt valta koskaan ole ongelmatonta. Tähän asti valta on näkynyt taloudellisena valtana. Facebook ja Google vievät jonkin tiedon mukaan puolet Suomen nettimainonnan kakusta ja keräävät asiakkaistaan kaiken tiedon bisneksen pönkittämiseksi. 

Nyt tämä valta on saanut uuden ilmentymän. Yhtiöt käyttävät valtaansa sisällön poistamiseen. Vaikka päätökset eivät ole suoranaisesti poliittisia, niissä törmää länsirannikon liberaali kulttuuri äärioikeiston ja Trumpin lietsomaan pelkoon ja muiden halveksuntaan.

Tästä tulee vielä iso asia Yhdysvaltojen sisällä ja se koskettaa meitä suomalaisiakin.

Muuten, Pinterest näyttää liittyneen joukkoon: https://www.infowars.com/pinterest-removes-infowars-account-amid-mass-censorship-purge, samoin Linked-in.

Republikaaniehdokas syyttää Facebookia poliittisesta syrjinnästä, kun yhtiö ei hyväksynyt Kambodžan kansanmurhasta kuvattua videopätkää. Ehkä päätös ei kuitenkaan liity poliittiseen kantaan?

Lisäys 8.8.2018: Tässä 30.12.2017 julkaistussa Interceptin jutussa kerrotaan Facebookin sulkeneen palestiinalaisten tilejä Israelin ja USA:n viranomaisten käskystä. Perusteluna oli rikokseen yllyttäminen (incitement). Jos FB ei olisi sulkenut tilejä, Israel olisi velvoittanut siihen kansallisen lakinsa nojalla. Juuri siinä on yrityksen ja valtion ero.

Twitter ei poista Infowarsin tunnuksia, koska toiminta ei ole rikkonut sen omia sääntöjä (ei viittaustakaan sananvapauteen). Twitter kuitenkin seuraa tilannetta.

tiistai 31. heinäkuuta 2018

NATOn 2 % tavoite ei voi olla itsetarkoitus

USA:n presidentti Donald Trump patistaa jatkuvasti Nato-maita kasvattamaan puolustusmenoja kohti sovittua 2 prosentin tasoa bruttokansantuotteesta. "Sopimus" on kuitenkin vain poliittinen tavoite, ei mikään kirjallinen sitoutumus. Ja hyvä niin, koska siinä ei olisi mitään järkeä.

Puolustusmenojen tulisi olla sidoksissa koettuun uhkaan. Saudi-Arabia käyttää 6,9 % bruttokansantuotteestaan puolustukseen, mikä on täysin järjetöntä. Arabiemiraateissa prosenttiosuus on samaa tasoa. Israelin 6,2 % tason ymmärtää historian valossa.

Espanjan luku on Wikipedian mukaan 0,85 % eli 11,5 miljardia dollaria. Onko jokin maa viime aikoina uhannut Espanjaa sotilaallisesti? Jotta maa yltäisi Naton tavoitteeseen, sen pitäisi lisätä puolustusmenojaan 15,5 miljardilla dollarilla. Olisiko Espanjan turvallisuus sen jälkeen parempi? Vai olisiko Espanjalla muuta käyttöä tuolle summalle, joka hyödyttäisi kansaa enemmän?

Portugalin lukema on 1,8 %, Tanskan 1,4 %, Alakomaiden 1,3 %, Belgian 1,1 % -- ketä vastaan nämä maat varustautuvat? Maahanmuutto, ilmastonmuutos ja talouden rakennemuutokset ovat konkreettinen uhka ja miljardit pitäisi käyttää niiden torjumiseen.

Kreikka on varmasti Yhdysvaltojen mieleen, sillä maa täyttää 2,5 % osuudella Nato-tavoitteen kirkkaasti. Kreikka tosin varustautuu Turkkia, toista Nato-maata vastaan, ja on ostanut aseet velaksi, joten senkään touhuissa ei ole mitään järkeä.

Kreikan armeijan aseistus näyttää olevan lähinnä amerikkalaista, saksalaista ja osin jopa kotimaista (kreikkalaista) alkuperää. Ja siinähän onkin syy, miksi Trump vaatii Nato-maita pitämään kiinni asevarustelun 2 % tavoitteista: asekauppa on Yhdysvalloille tarpeellista bisnestä. Mitä enemmän Nato-maat varustautuvat, sitä enemmän USA:n kansantalous hyötyy.

Yhteistä 2 % -tavoitetta voi perustella sillä, että Naton jäsenmaat voivat pyytää muilta apua mikäli joutuvat hyökkäyksen kohteeksi. On aika epätodennäköisestä, että jokin maa hyökkäisi Belgiaan tai Espanjaan, joten näissä maissa puolustusmenojen lisäyksen myyminen kansalle vaatii ahkeraa informaatiovaikuttamista ja uhkakuvien maalailua. Siinä Nato ja USA tekevät parhaansa.

Yhteistä tavoitetta olisi helpompi perustella, mikäli rahat kerättäisiin yhteiseen kassaan ja varustelu keskitettäisiin sen jälkeen sinne, mistä uhkienkin koetaan tulevan. Yhteinen puolustusajattelu vaatisi liittovaltiota, mikä ei sovi tällä hetkellä eurooppalaisille eikä varsinkaan USA:lle, joka haluaa pikemminkin heikentää EU:ta.

Suomen puolustusmenoiksi on Wikipedian taulukossa saatu 7 miljardia dollaria, puolustusbudjetti on kuitenkin vain 2,9 miljardia euroa. Wikipedian luvuissa on huomioitu asevelvollisuuden aiheuttamat epäsuorat kustannukset. Toisella laskutavalla BKT-osuudeksi saadaan 1,3-1,6 %. Suomi on siten selvästi 2 % rajan alapuolella, vaikka olemmekin Venäjän naapurissa.

Toivottavasti maalaisjärki voittaa eri valtioissa. Puolustusmenojen kasvattaminen ei voi olla missään itsetarkoitus. Jokaisella maalla on paljon tärkeämpiä rahanreikiä.

tiistai 24. heinäkuuta 2018

GDPR ja kesäuutisointi

Kirjaprojektin jälkeen on taas aikaa päivittää blogia. Silmiini osui viime viikolla uutinen British Airwaysin tavasta käyttää Twitteriä GDPR-lain vastaisesti.

Ensin raflaava otsikko "Ai näin se tietosuojauudistus toimii? British Airways vaati asiakkaan yksityistietoja Twitterissä: mm. passin numero ja osoite julki" ja perään ulkomaisesta lähteestä tiivistäen käännetty "uutinen".
Ai näin se tietosuojauudistus toimii?
Iltalehden juttu on sen verran epäselvä, että pitää tutustua alkuperäisiin lähteisiin, jotta tapauksesta saisi jonkinlaisen kuvan. Eikä se silti ole helppoa.

Jos oikein ymmärsin, British Airways oli perunut lennon eikä tyytymätön asiakas Jason Hunter saanut lisätietoja uudesta reitityksestä. Hän valitti Twitteriin, jolloin BA:n asiakaspalvelun edustaja Kelly pyysi lähettämään mm. passin numeron ja luottokortin neljä viimeistä numeroa.

Poru syntyi siitä, että Hunter ilmeisesti vastasi viestiin ja lähetti tietoja julkisesti, mikä ei tietenkään ollut BA:n tarkoitus eikä GDPR:n tai suositeltavan tavan mukaista. Silloin asiaan tarttui julkisuutta kaipaava tietoturvaopiskelija, joka halusi tehdä asiasta uutisen.

Kesän uutisköyhyydessä moni lehti uutisoi jutun pilkaten BA:ta GDPR:n väärinymmärtämisestä. Tarinan kertoi ainakin TechCrunch, Gizmodo ja The Telegraph.

Mutta mitä tässä oikeasti oli tapahtunut?

Jason Hunterin kaikki neljä twiittiä liittyvät lennoista valittamiseen:
Jason Hunterin twiittihistoria on yksipuolinen: vain valituksia lennoista.
Alkuperäinen British Airwaysin vastaus:
BA:n vastaus kokonaisuudessaan.
Siinä lukee selvästi, että "Please DM" - siis lähetä yksityisviestinä, ei julkisesti. Hunter ei ollut lukenut ohjetta eikä media näyttänyt uutisoinnissa sitä ensimmäistä (1/2) viestiä, vain jälkimmäisen (2/2).

Luultavasti BA pyysi tietoja siksi, että se voi identifioida Hunterin riittävän varmasti - muutenhan joku voisi pyytää hänen nimissään omia lippuja vaihdettavaksi. Henkilöllisyyden varmistaminen on GDPR:n vaatimusten mukaista, eikä muutaman viestin profiilikuvaton Twitter-tili itsessään ole mikään henkilöllisyystodistus.

Kesäuutisia kannattaa lukea erityisen krittisesti ja mahdollisuuksien mukaan tutustua alkuperäisiin lähteisiin. Jutut eivät käännettäessä ainakaan selvene. 

maanantai 18. kesäkuuta 2018

Kasperskyn tietoturvaohjelma EU:n hampaissa

Viime viikolla EU päätti tiivistää kyberyhteistyötä Naton kanssa. Siihen liittyen EU hyväksyi raportin, jonka toiseksi viimeinen kohta totesi venäläisen Kaspersky Labin tietoturvaohjelman haitalliseksi perusteluita esittämättä. Asia herätti mielenkiintoni ja twiittasin siitä useamman kerran.

Taustoja tuntemattomalle asia on vieras, joten tässä tapauksesta kertova kohta 19.9.2018 ilmestyväni kirjan käsikirjoituksen luonnoksesta. Teksti voi vielä muuttua, mikäli asiassa ilmenee uutta.

Kyberuhkia ja somesotaa ilmestyy 19.9.2018
"Venäläinen Eugene (Jevgeni) Kaspersky perusti nimeään kantavan tietoturvayhtiön Moskovassa 1997. Virustorjuntaohjelmasta tuli suosittu ja Kaspersky Lab kasvoi nopeasti kansainväliseksi toimijaksi. Sen palveluksessa on eri maissa noin 4000 työntekijää. Eugene Kaspersky on itse arvostettu tutkija ja esiintyy säännöllisesti kansainvälisissä tietoturvakonferensseissa. Yrityksen menestys on kerryttänyt hänelle yli miljardin dollarin henkilökohtaisen varallisuuden.

Isona ei-amerikkalaisena toimijana Kasperskyyn luotetaan Venäjällä ja Lähi-Idässä, mikä on antanut yhtiölle näköalapaikan länsimaiden näissä maissa suorittamaan urkintaan. Kaspersky on paljastanut ja analysoinut amerikkalaisten kehittämiä vakoiluohjelmia, kuten Equation Groupia.

Tällainen toiminta ei tietenkään miellyttänyt amerikkalaisia. He epäilivät Eugene Kasperskyllä olevan liiankin läheiset suhteet nykyisen Venäjän tiedusteluun. Epäilyn ymmärtää, sillä Kaspersky opiskeli kryptografiaa Venäjällä koulussa, joka teki yhteistyötä silloisen KGB:n kanssa. Hän ehti myös olla jonkin aikaa Neuvostoliiton armeijan palkkalistoilla.

Toisaalta Kasperskyn yritys on analysoinut myös venäläisen Turla-verkkovakoiluryhmän toimintaa, paljastanut lukuisia kiristysohjelmiin erikoistuneita venäläisiä rikollisryhmiä ja ollut mukana No More Ransom -kampanjassa. Euroopan verkkorikostorjuntakeskuksen, Europolin, Kasperskyn ja McAfeen yhteinen sivusto www.nomoreransom.org on levittänyt tietoa kiristysohjelmien torjunnasta myös suomeksi.

Joulukuussa 2016 Venäjän turvallisuusvirasto FSB vangitsi yhden Kasperskyn johtajista epäiltynä maanpetoksesta, koska yhtiö oli ilmeisesti jakanut venäläisistä verkkorikollisista kerättyjä tietoja Yhdysvaltojen viranomaisille. Ei varmasti ole helppoa tasapainoilla idän ja lännen välillä näin arkaluontoisissa asioissa.

Epäluulot Kasperskyä kohtaan voimistuivat, kun Israelin verkkotiedustelu murtautui Kaspersky Labin verkkoon ja löysi sieltä NSA:n salaisia kybertyökaluja. Tietojen tultua julkisuuteen yhtiö selvitti asiaa ja julkaisi oman tiedotteensa. Sen mukaan virustorjunta oli havainnut asiakkaan koneessa aktiivisen Mokes.hvl-troijalaisen, joka oli tullut piraatti-Officen avaimenluontiohjelman kylkiäisenä. Virustorjunta oli tarkistanut levyn tiedostot ja lähettänyt epäilyttävän 7zip-arkistotiedoston yhtiöön tarkempaa analyysiä varten. Sieltä oli löytynyt USA:n Equation-vakoiluohjelmaperheen uuden version lähdekoodeja. Selitys kuulostaa uskottavalta – juuri niin hyvin toimivan torjuntaohjelman pitäisikin toimia.

Wall Street Journalin uutisen mukaan NSA:n alihankkijan palveluksessa ollut henkilö oli todellakin vienyt ohjeiden vastaisesti töitä kotiin ja käyttänyt tiedostoja kotikoneella, jolle oli asennettu Kasperskyn antivirus-ohjelma.

Yhdysvallat kuitenkin väitti, ettei kyse ollut tavallisesta virustorjunnasta, vaan ohjelmaa oli muokattu etsimään levyltä nimenomaan salaiseksi merkittyjä tiedostoja. Kaspersky puolustautui sanomalla, ettei yhtiöllä ollut mitään salattavaa. Se lupasi antaa ohjelmiensa lähdekoodin ulkopuolisten tarkistettavaksi ja perustaa Sveitsiin datakeskuksen, johon eurooppalaisten ja yhdysvaltalaisten asiakkaiden tiedot tallennettaisiin, jotta väitteet salaisesta yhteistyöstä Venäjän tiedustelun kanssa loppuisivat.

Mikään ei auttanut. Joulukuussa 2017 presidentti Trump kielsi lailla Kasperskyn tietoturvaohjelmien käytön maan hallinnossa.

Hollanti teki myöhemmin samoin ja siihenkin liittyi kiinnostavia käänteitä. Hollanti ilmoitti, ettei sillä ollut todisteita Kasperskyn epäluotettavuudesta, mutta ohjelmista luovuttiin ennaltaehkäisevästi, koska Venäjällä oli ”aktiivinen ja hyökkäävä kyberohjelma Hollantia vastaan”.

Kyberohjelman aktiivisuuteen saattoi vaikuttaa Hollannin oman tiedustelupalvelun AIVD:n toiminta. Se oli onnistunut murtautumaan venäläisen APT28-vakoiluorganisaation sisäverkkoon. Kiinnostavien tiedostojen ohella murto avasi pääsyn valvontakameraan, jonka kuvista AIVD päätteli, että käytännössä ryhmän toimintaa johti Venäjän ulkomaantiedustelusta vastaava SVR. AIVD seurasi, miten APT28 aloitti hyökkäyksen Yhdysvaltojen ulkoministeriöön ja välitti tietoja, joilla maa pystyi torjumaan hyökkäyksen. Yhteistyön piti pysyä salaisena, mutta Yhdysvallat meni paljastamaan asian, mikä suututti AIVD:n.

Vielä erikoisempi sivujuonne liittyy kauniiseen valokuvamalliin nimeltä Rian van Rijbroek. Hollantilaisen tv-kanavan uutisohjelmassa hän väitti olevansa salaisia tehtäviä suorittava huippuluokan hakkeri. Yksi toimeksiannoista oli selvittää, kuka Hollannin parlamentin alahuoneesta vuotaa tietoja. Siihen liittyen van Rijbroek kertoi murtautuneensa jouluaattona 2017 Kasperskyn Utrechtin toimiston wifi-verkkoon ja saaneensa selville 40 venäläistä ip-osoitetta, jotka ilmeisesti liittyivät tietovuotoon. Hollannin suurin sanomalehti teki väitteistä uutisen ja haastatteli van Rijbroekia. Kaspersky piti tapausta valeuutisena ja haastoi lehden oikeuteen.

Kesäkuussa 2018 EU-parlamentti hyväksyi virolaisen europarlamentaarikko Urmas Paetin laatiman kyberturvallisuusraportin, joka suositteli NATO-yhteistyön tiivistämistä ja EU:ssa käytettyjen ohjelmien turvallisuuden tarkistamista. Raportin toiseksi viimeinen 76. kohta sanoi asian selkeästi:

...kehottaa EU:ta suorittamaan toimielimissä käytettyjen ohjelmistojen sekä tietotekniikka- ja viestintäalan laitteistojen ja infrastruktuurin kattavan tarkastuksen mahdollisesti vaarallisten ohjelmien ja laitteiden poistamiseksi ja haitallisiksi vahvistettujen ohjelmien ja laitteiden kieltämiseksi (esimerkiksi Kaspersky Lab) [lihavointi bloggaajan]

Raportista ei käynyt ilmi, miten Kaspersky Labin haitallisuus oli vahvistettu. Yhtä lukuunottamatta suomalaiset MEPit äänestivät joko hyväksymisen puolesta tai tyhjää.

Eugene Kaspersky väitti EU:n ampuvan itseään jalkaan tekopyhällä toiminnallaan ja ilmoitti lopettavansa yhteistyön Europolin kanssa.

Oliko Kasperskyllä puhtaat jauhot pussissa vai tekikö se yhteistyötä Venäjän tiedustelun kanssa? Kaspersky itse arveli, että joku ulkopuolinen on saattanut hyödyntää heidän ohjelmaansa salaa. Ehkä henkilökuntaan on soluttautunut Venäjän agentteja? Voimme vain arvailla.

Snowdenin paljastama Prism-ohjelma kertoi NSA:n pääsevän mm. Googlen, Applen ja Microsoftin asiakkaiden tietoihin. Koskaan ei selvinnyt, oliko yhtiöt painostettu salaiseen yhteistyöhön kansallisen turvallisuuden nimissä vai oliko NSA hakkeroinut tiensä palveluihin. Paljastuksista nousi maailmanlaajuinen kohu, mutta pian urkinta unohtui ja kaikki jatkoivat palvelujen käyttämistä entiseen tapaan."

tiistai 12. kesäkuuta 2018

Net - verkko kiristyy tämän päivän silmin

Vanhoja it-aiheisia elokuvia on hauska katsoa uudelleen. Tämän päivän silmin osa niistä näyttää koomisilta, osa visionäärisiltä. Harva tämän alan elokuva kestää aikaa.

Frii-kanava esitti äskettäin kaikkien hakkerielokuvien äidin, The Net - verkko kiristyy, vuodelta 1995. Näin elokuvan heti tuoreeltaan lentokoneessa. Nyt sitä katsoi ihan uusin silmin.

Vuonna 1995 elokuva oli huippumoderni, Suomessa netti oli vasta tulossa suuren yleisön tietoisuuteen. Jenkeissä oltiin jo pidemmällä. Elokuvan alkupuolella sankaritar (Angela Bennettiä esittävä Sandra Bullock) kaipailee nettiyhteyttä meksikolaisella uimarannalla.

"Mihin saan modeemin kiinni?" - ai, mikä se on? Mikset käytä 4G:tä?
Vähän myöhemmin Angela on jo identiteettivarkauden uhrina. Hänen henkilöllisyytensä on kaapattu ja rekisteriin vaihdettu toinen nimi:

Identiteettivarkaus vm. 1995.
Vuonna 1995 katsojien luottamus viranomaisen rekistereitä kohtaan oli luultavasti suurempaa kuin nyt, monien hakkerointi- ym. uutisten jälkeen.

"Olen Angela bennett!" Uskokaa pois.
Elokuva oli edellä aikaansa nostaessaan esille valvontayhteiskunnan toteutumisen. Jos kaikki ei vielä 1995 ollutkaan tietokoneella, nyt on.

"Koko elämämme on tietokoneessa". Yep. 
Leffassa viliseen nostalgisia lyhenteitä ja ohjelmia, kuten TELNET:

TELNET? Mikä se on?
Sen sijaan "Sveitsin internet" (L'internet suisse) jäi itselleni arvoitukseksi. Ehkä sillä haluttiin korostaa verkon kansainvälistä luonnetta.

Trace Utility ja Packet Analyzer, vau.
CyberChat room 15, ihan oikea ip-osoite ja UN*X Shell v1.63.2:

Tuotesijoittelusta päätellen Apple oli elokuvan sponsori.
Webin graafiset käyttöliittymät olivat vuonna 1995 vielä kovin alkeellisia. Tämän päivän palvelussa grafiikka tehtäisiin toisin, mutta ideat ovat oikein.

Cyber Chat ja käyttäjien "kuvat".
Elokuvassa taitaa olla kuvauttu ensi kerran kyberhyökkäys, vaikkei termiä ollutkaan vielä keksitty (ei edes 2007 Die Hard 4:ssä, jossa sitä kutsuttiin nimellä virtuaaliterrorismi).

Kyberhyökkäys iskee Atlantaan ja tietenkin pörssiin.
Kuinka moni vielä muistaa nämä merkkipohjaiset pudotusvalikot:

Wanhan ajan käyttöliittymä.
Sähköpostiosoitteet ovat fiktiivisiä. Oikeudella ei taida vieläkään olla omaa TLD:tä ja User ID muistuttaa enemmän Compuserveä kuin netin sähköpostia.

Sähköpostia FBI:lle
Aikanaan pisti heti silmään, että IP-osoite oli väärin. Luultavasti tarkoituksella, vähän kuin elokuvien 555-puhelinnumerot. Traceroute näyttää kylläkin aidolta -- tosin ajat ovat niin pitkiä, että kyse on selvästi ollut hitaasta modeemiyhteydestä.

IP address 23.75.345.200
Vaihdetaan elokuvaa. Aiemmin keväällä esitetyssä Blackhat -elokuvassa (2015) haetaan IP-osoitetta 95.45.265.284:

Whois 95.45.265.284
Sehän löytyy Ukrainasta, ainakin elokuvissa. Kaupunki Dnipropetrovsk kuulostaa tuntemattomalta, mutta juuri tuon kaupungin lennonjohdon alueella lento MH17 ammuttiin alas heinäkuussa 2014. Voihan nimivalinta olla sattumaakin.

IP address 95.45.265.284, Dnipropetrovsk, Ukraine
Tavallinen katsoja tuskin kiinnittää huomiota ip-osoitteisiin, mutta meitä nörttejä osoitteet kiinnostavat. Vaikka kumpikin elokuva käyttää mahdotonta osoitetta, ne ovat teknisesti uskottavia -- toisin kuin eräät muut, joissa modeemiyhteydellä siirretään sujuvasti videokuvaa tai lanseerataan koko maailman alistava tekoäly.

maanantai 4. kesäkuuta 2018

Mobiilivirusten määrä laskussa

Tätä tuskin näet uutisissa: mobiilivirusten määrä on laskussa. Erityisen paljon ovat vuoden ensimmäisellä neljänneksellä vähentyneet mobiilit kiristysohjelmat. Nämä tiedot käyvät ilmi Kaspersky Labin tuoreesta mobiiliturvakatsauksesta.

Muutama poiminta raportista. Havaittujen asennuspakettien määrä laski 11 prosentilla edellisestä neljänneksestä:

Mobiilihaittaohjelmien määrä laskenut kaksi neljännestä peräkkäin.
Suomi on tilastojen perusteella erittäin puhdas maa, sama pätee muihin pohjoismaihin ja Saksaan. Synkimmät maat ovat Kiina (34 % käyttäjistä kohdannut haittaohjelman), Bangladesh (28 %), Nepal (27 %), Norsunluurannikko (27 %), Nigeria (25 %), Algeria (24 %) sekä Tansania, Intia, Indonesia ja Kenia (kaikki yli 20 %).
Suomi, pohjoismaat ja USA mobiilisti turvallisia.
Pankkitroijalaisten määrä oli noussut, mutta laski kaksi edellistä neljännestä, eikä nytkään yltänyt yhtä korkealle tasolle kuin vuoden 2017 kolmannella neljänneksellä. Hyvää kehitystä sekin. Pankkitroijalaiset kiusaavat varsinkin Venäjää ja yllättäen myös Yhdysvaltoja. Eurooppa on tässäkin suhteessa turvallinen. Turvattomia ovat Venäjän ja USA:n lisäksi Tazdikistan, Uzbekistan, Kiina, Turkki, Ukraina, Kazakstan, Puola ja Moldova. Näissä maissa ei kannata asioida mobiilipankissa!

Mobiilien kiristysohjelmien määrä on suorastaan romahtanut:

Mobiilien kiristysohjelmien määrä on romahtanut.
Kehitys ei kerro koko totuutta, sillä kiristysohjelmat ovat vaihtaneet levitystekniikkaa ja niiden laskentatapa on muuttunut. Raportti myös varoittaa, että kiristäjät ovat teknisesti entistä kehittyneempiä.

Suomi on erityisen hyvässä turvassa, harvoja nollan pinnassa olevia maita. Jopa Ruotsin ja Norjan värit ovat hieman synkempiä.

Hyvä Suomi!
Erityisen synkkiä maita ovat Kazakstan, Italia, Irlanti, Puola, Belgia, Itävalta, Romania, Unkari, Saksa ja Sveitsi. Lista on hieman yllättävä, koska se sisältää lähinnä EU-maita ja yhden entisen neuvostotasavallan.

Tietoturvassa ei ole koskaan varaa levätä laakereilla, mutta ainakin tämän päivän tilanteessa suomalaiset mobiilikäyttäjät voivat olla melko hyvillä mielin. Uhkakuvista ja uutisoinnista huolimatta älypuhelin on vielä erittäin turvallinen, kunhan ei itse poista suojauksia eikä lataile epämääräisiä hupi- ja peliohjelmia.

tiistai 29. toukokuuta 2018

Haluan vanhan webin takaisin!

Oletko huomannut, miten hankalaksi nettisurffailu on muuttunut? Jos sivustojen käytettävyys huononee tätä vauhtia, niiden käyttö alkaa vähentyä. Ennen kaikki oli paremmin.

Syitä on monia. Yksi on videoiden pakkosyöttö. Moni uutissivusto alkaa pyörittää videota lupaa kysymättä, vaikka asia on kerrottu myös tekstinä. Jos yrittää vierittää sivua alaspäin ja saada videon piiloon, se mokoma hyppää uuteen paikkaan pienempänä. Joskus videon voi sulkea, yleensä vain pysäyttää.

Uutisvideosta ei pääse eroon edes sivua vierittämällä. 
Miksi videoita pakkosyötetään? Haluavatko ihmiset oikeasti katsella minuutin videon sen sijaan, että lukisivat 10 sekunnissa mistä on kyse? Kukaan ei tunnu haluavan automaattivideoita, mutta silti uutissivustot jatkavat niiden tyrkyttämistä.

Toinen harmitus on sivujen hitaus. Miten on mahdollista, että sivut latautuvat nykyään yhtä hitaasti kuin 20 vuotta sitten, jolloin laajakaista teki vasta tuloaan ja prosessorit olivat höyrykoneita nykyisiin verrattuna? Tähän on selvä vastaus: suosittujen sivujen takana pyörii vaikka minkälaisia seurantatekniikoita ja turhia UI-härpäkkeitä pyörittäviä Javascript-kikkareita, evästeiden käsittelyä ja analytiikkaa. Lyhyenkin sivun mukana latautuu satoja rivejä koodia ja evästeitä kymmenistä ulkoisista palvelimista. Kaikki tämä kestää.

Olikin huikea kokemus käydä USA Today -lehden sivulla. Se on poistanut EU-käyttäjiltä kaiken ylimääräisen ja sivut latautuvat ajatuksen nopeudella. Kokeile itse https://eu.usatoday.com! Sivujen käyttöliittymä on staattinen ja pelkistetty, mutta aivan riittävä. Web-designerien kikkailut ovat jänniä, mutta eivät ainakaan paranna sivujen luettavuutta saati käytettävyyttä.

USA Today European Union Experience - kiitos GDPR!
Kävijäseurantaa ja analytiikkaa tarvitaan toki rahoittamaan "ilmaisia" palveluita, mutta nykyinen trendi on mennyt liian pitkälle. Kun käy yhdessä verkkokaupassa katsomassa jotain tuotetta, sen mainokset kummittelevat puoli vuotta kaikilla sivuilla, vaikka tavara olisi jo ostettu.

Kolmas harmin aihe onkin ilmaisten palvelujen loppuminen. Tänä keväänä moni tunnettu uutissivusto on siirtynyt maksumuurin taakse ja alkanut rajoittaa ilmaiseksi näkyvien sivujen määrää. Esimerkiksi New York Times:

New York Timesin jutut luettu.
Erityisesti harmittaa Wiredin rajoitukset, onhan kyse ollut it-maailman trendilehdestä ja puolestapuhujasta. Nyt lehdestä on tullut oman menestyksensä uhri.

Wiredissä enää kaksi ilmaisjuttua jäljellä.
Washington Postissa oli sama juttu, lisäksi EU-käyttäjien hinta on tietosuojan vuoksi 50 % kalliimpi kuin jenkkikäyttäjän hinta.

On ymmärrettävää, että mediat alkavat laskuttaa sisällöstä. Tätä siirtymää on odotettu jo 2000-luvun alusta lähtien. Tähän asti printtipuolen tulot ovat pystyneet subventoimaan nettipuolen tappioita, mutta nyt printti on kutistunut niin pieneksi, että webin on elätettävä itsensä tavalla tai toisella.

Saa nähdä, elättääkö. Voisin maksaa Wiredistä, Washington Postista tai New York Timesista (kotimaisten, nyt jo maksamieni lisäksi), mutta kaikista yhdessä tulisi merkittävä kustannus. Aion siis vähentää näiden medioiden lukemista. Jos muut tekevät samoin on väistämätöntä, että laatujournalismi alkaa kuihtua. Tilan ottavat harrastajien puolivillaiset blogit (kuten tämä omani, jota kirjoitan ilmaiseksi vasemmalla kädellä kun ehdin) ja valemediat, joita rahoitetaan ideologisista syistä.

Pahimmassa tapauksessa netti kutistaa ammattimaista journalismia. Some ja tahalliset vaikutusmediat lisäävat valtaansa. Netti on tehnyt karhunpalveluksen journalismille ja sitä kautta yhteiskunnille.

Viimeinen ärsyttävä asia ovat erilaiset popupit, joita saa olla kuittaamassa koko ajan pois. Onko ihan pakko tehdä sivujen käytöstä näin vaikeaa? Kun uutiskirjeisiin lisätään vielä evästekyselyt ja tietosuojapolitiikan kuittaukset, tuloksena on melkoinen kaaos. EU:n hyvää tarkoittava säädös evästeistä kertomisesta on kääntynyt päälaelleen: ärsyyntyneet käyttäjät eivät viitsi perehtyä asiaan senkään vertaa mitä aiemmin. Klik ja eroon mahdollisimman nopeasti moisesta häiritsijästä.

Ilmiö lienee tuttu jokaiselle, mutta tässä silti omakohtaisia esimerkkejä:

Etsi kuvasta varsinainen sisältö (Wired).
CNN mainos peittää ruudun, kun on lukenut uutisen.
Aiheena GDPR, tilaatko kirjeen?
Erikoistarjous! 4 ilmaista numeroa.
Can we stay in touch? Ei kiitos.
Osataan sitä Suomessakin. 
Push-notifikaatioita tai uutiskirjeitä? Ei kiiso.
Olet käynyt täällä aiemminkin, virallistetaanko suhde?
Tilaa edes Uuden Suomen uutiskirje.
Haluan vanhan webin takaisin! Sen netin kulta-ajan, jolloin vielä pystyi surffaamaan ja lukemaan sisältöä järkevästi. Mainonta ja bisnesmallit ovat pilanneet surffailukokemuksen ja ennen pitkää ne pilaavat myös tiedonhankinnan ja sivistyksen.

Jonain päivänä kerromme lapsillemme tarinoita siitä, millaisia nettisivut olivat silloin, kun netissä oli vielä asiallista luettavaa ja sitä pystyi käyttämään järkevästi. 

maanantai 28. toukokuuta 2018

Maksaisitko Facebookista 35 euroa vuodessa?

Paljonko maksaisi tietosuojattu Facebook? Sellainen, joka ei urkkisi käyttäjiä, vaan rahoittaisi toimintansa kuukausimaksuilla? Tätä pohdittiin yleisesti keväällä, kun Zuckerberg oli senaatin ja kongressin kuultavana, ja kun Cambridge Analytican tietovuoto aiheutti raflaavia otsikoita.

Tehdäänpä muutamia laskelmia Facebookin viimeaikaisten mainostulojen perusteella.
Facebookin mainosmyynti viime vuonna 26,94 dollaria.
Facebookin bisnes kasvaa hämmästyttävän nopeasti. Vuoden 2017 ensimmäisellä neljänneksellä eurooppalainen käyttäjä toi yhtiölle 5,32 dollaria, tämän vuoden vastaavana aikana jo 8,01 dollaria missä on kasvua 50,6 prosenttia. Tulee olemaan kiinnostavaa nähdä, miten kevään kohut näkyvät toisen neljänneksen (huhti-kesäkuu) luvuissa.

Jos oletetaan kasvun jatkuvan entisellään, vuonna 2018 jokainen eurooppalainen käyttäjä tuottaa keskimäärin 40,56 dollaria eli noin 35 euroa. Tämä muodostaa pohjan vuosimaksua ajatellen. Maksaisitko itse 35 euroa vuodessa tietosuojallisesta Facebookista?

Moni maksaisi, mutta asia ei ole niin yksinkertainen. Kasvun jatkuessa hinta vuodelle 2019 olisi taas 50 prosenttia suurempi eli yli 50 euroa. Lisäksi laskuttaminen ja maksuliikenteen hoitaminen aiheuttaa jo itsessään kuluja, jotka tulisivat luonnollisesti nostamaan laskennallista hintaa.

Käytännössä olisi vaikea toteuttaa some-palvelu, jossa osa käyttäjistä maksaa ja sallii urkinnan, ja osa ei. Miten erotella käyttäjien toisilleen antamat tykkäykset ja kommentit? Jos maksavien käyttäjien osuus nousisi suureksi (itse en siihen usko, moni pitäisi 35 euroa itse ja katselisi mainoksia), Facebookin keräämä datamäärä laskisi ja se vaikuttaisi myös urkintaluvan antaneisiin käyttäjiin. Dataa olisi vähemmän, joten mainosten tuottokin vähenisi. Se johtaisi hintoja nostavaan kierteeseen, kun ilmaiskäyttäjiltä puuttuva tuotto pitäisi kerätä maksavilta asiakkailta.

Washington Post reagoi räväkästi GDPR-aikaan. Se tarjoaa EU-käyttäjille tietosuojattua tilausta, jossa käyttäytymisdataa ei kerätä. Hinta on 50 prosenttia korkeampi kuin mainoksia katsovien käyttäjien hinta.
EU-tietosuojan hinta: kolme dollaria kuukaudessa.
Jenkkikäyttäjä maksaa kuusi taalaa kuukaudessa, EU-serkku yhdeksän. Kolme taalaa on siis "urkintalisä", joka tulee normaalin sisältömaksun päälle.

Jos tätä periaatetta sovelletaan Facebookiin voidaan arvioida, että tämän vuoden 35 euron hinta nousisi 52 euroon ja ensi vuonna maksu olisi jo 75 euroa. Silloin oltaisiin jo kipurajalla. Suoraa vertailua ei tietenkään voi tehdä, koska Facebookin oma "tuotantokoneisto" on Washington Postiin verrattuna minimaalinen. Toisaalta vaikka sisältö on ilmaista, Facebookilla on paljon enemmän henkilökuntaa (27 742).

Ilmaisten nettipalveluiden muuttaminen maksullisiksi on vaikeaa. Ihmiset luovuttavat mieluummin tietonsa kuin rahansa. 
Website Security Test