torstai 16. joulukuuta 2010

Avoin WLAN - lupa käyttää?

Oikeusministeriö on jo pitkään valmistellut lakimuutosta, joka sallisi käyttää avointa wlan-yhteyttä lupaa kysymättä. Muutos kuulostaa pieneltä ja tarpeelliselta, mutta sillä on monia vaikutuksia.

Lakimuutosta on perusteltu sillä, että nykyisellään käyttäjä saattaa tietämättään rikkoa lakia, mikäli matkapuhelin tai tietokone ottaa automaattisesti yhteyden löytämänsä avoimen wlanin kautta. Näin voi ollakin, mutta tahaton tai havaitsematon teko ei ole rangaistavaa. Ainoa tuomio, joka Suomessa on annettu wlan-verkon luvattomasta käytöstä liittyy tapaukseen, jossa vierasta verkkoa käytettiin tietoisesti rikoksen jälkien peittelyyn.

Oikeusministeriön tiedote kertoo, mitä muutoksella tavoitellaan. Rivien välistä lukemalla löytyvät myös ongelmat.

Esityksen mukaan käyttölupa rajoittuisi vain internet-yhteyden käyttämiseen, ja yhteyden muodostaminen sisäverkon koneeseen tai tietojärjestelmään olisi kiellettyä. On kuitenkin monia sovelluksia, jotka haistelevat lähiverkon palvelimia ja kytkeytyvät niihin automaattisesti. Vieraan henkilön wlan-yhteyttä käyttävä saattaa näin vahingossa kytkeytyä verkon omistajan iTunes- tai Windows Media Player -kirjastoon.

Ollaan siis takaisin lähtöpisteessä: oli tarkoitus poistaa automaattisen verkkokäytön tuoma riski, mutta sama riski on kuitenkin olemassa lähiverkkotasolla.

Ehdotukseen sisältyy iso, periaatteellinen muutos. Jos unohtaa lukita asunnon oven lähtiessään ulos, ulkopuolisilla ei silti ole oikeutta mennä sisään. Muutosehdotus siirtäisi vastuun asunnon omistajalle: jos et lukitse ovea, on oma vikasi mikäli joku rikkoo kotirauhaa menemällä sisään.

Tiedotteessa asia on käännetty ylösalaisin: se, että vastuu siirtyy tekijältä omistajalle, onkin hyvä asia, koska "muutos siirtäisi vastuuta verkon suojaamisesta sen omistajalle, millä olisi myös tietoturvallisuuden parantamiseen ohjaava vaikutus".

Samalla periaatteella esimerkiksi jalankulkijoille voitaisiin antaa oikeus ylittää katu mistä kohdasta tahansa ja päin punaista valoa -- sehän vain lisäisi liikenneturvallisuutta, kun autoilijoiden pitäisi olla koko ajan skarppina ja laskea nopeutta riittävästi.

Tiedotteessa sanotaan myös näin: "Käyttäjä ei aina voi varmuudella tietää, onko suojaamaton verkko tarkoitettu vapaaseen käyttöön vai ei". Todennäköisesti 90 prosenttia vapaan wlan-verkon omistajista ei tiedä, että verkko on auki, tai ei ainakaan osaa suojata sitä. Eikö olisi loogisempaa vaatia että ne, jotka tietoisesti haluavat jättää verkkonsa auki, ilmaisevat tämän esimerkiksi SSID-nimessä sanalla open? Verkon tarkoituksella auki jättävillä on tietotaitoa, peruskäyttäjällä ei. Siksi on erikoista, että lakimuutos siirtää vastuun osaamattomille, ei osaaville.

Reaalimaailmassa sen, joka haluaa tarkoituksella jättää ovensa auki ja päästää vieraita sisään, tulee itse kiinnittää oveen tästä kertova kyltti. Kyltin puuttumista ei voi tulkita lupana mennä sisään.

Sitten on vielä yksi ongelma-alue, jota lainvalmistelussa ei ole huomioitu: laajakaistayhteys ei ole rajaton resurssi, jota kuka tahansa voi lainata, vaan niihin saattaa jatkossa tulla datakatto. Kun siirtomäärä ylittää muutama gigatavua, nopeutta joko kuristetaan alaspäin tai lisägigoista laskutetaan erikseen. Mobiilidatassa tällaiset rajoitukset ovat jo arkipäivää.

Entä jos joku jakaa Joikuspotilla 3G-yhteytensä wlan-verkoksi? Tällaisen verkon luvaton käyttö voi paitsi tuottaa ison lisälaskun liittymän haltijalle myös rikkoa haltijan ja operaattorin välistä sopimusta, joka kieltää p2p-verkkojen käytön mobiilidatalla. Aiheesta lisää Digitodayn artikkelissa Voit joutua maksamaan naapurin dataimuroinnin.

15 kommenttia:

Kennu kirjoitti...

Tästä tuntuu unohtuvan se, että ei ketään pakoteta tarjoamaan kotonaan avoimia WLAN-yhteyksiä. Jos ehdoin tahdoin pystyttää avoimen WLAN-tukiaseman, niin kai silloin on selvää, että joku ulkopuolinen tulee sitä jossain vaiheessa käyttämään.

Toinen asia on sitten se, pitäisikö operaattorit ja kauppiaat jollain tavalla velvoittaa suojaamaan myymänsä tukiasemat oletusarvoisesti. Näin ollen käyttäjän pitäisi erikseen avata tukiasemansa maailmalle.

Kennu kirjoitti...

Kyse ei ole myöskään siihen verrannollisesta asiasta, että jättää vahingossa ulko-ovensa auki. Vaan pikemminkin siitä, että jättää rakennukseen lukot kokonaan asentamatta.

Anonyymi kirjoitti...

Minusta avointa WLAN-verkkoa ei pidä verrata lukitsemattomaan kotioveen vaan esimerkiksi yksityistiehen. Jos teet tien etkä puomilla tai muilla tavoin estä muita sitä käyttämästä on kaikilla oikeus sitä käyttää. Jos tie on vapaa, se ei ole keneltäkään pois jos sitä käyttää. Jos tiellä on liikaa tai vääränlaista liikennettä, on omistajalla oikeus halutessaan estää muiden liikennöinti. Tällä logiikalla on nimenomaan omistajan asia suojata yhteytensä jos ei halua että muut sitä käyttävät.

Petteri Järvinen kirjoitti...

Lukekaas nyt Kennu ja Anonyymi kirjoitukseni ensin. Pohditaan sitten yhdessä, miten tietoturva paranee kun luvaton wlan-käyttö sallitaan.

Valtaosa avoimen wlan-verkon omistajista ei tiedä tai ymmärrä, mitä riskejä avoimuuteen liittyy. Yksityistie vertailukohtana on tästä syystä aivan metsässä.

The Interweb kirjoitti...

Pohditaan sitten yhdessä, miten tietoturva paranee kun luvaton wlan-käyttö sallitaan.

Tietoturva ei ehkä lain myötä parane, eikä se ole varmaan tarkoituskaan. Tärkeintä lienee välttää tilannetta, jossa poliisi joutuu tutkimaan epähuomiossa naapurin verkkoa lainannutta amatööriä.

Siksi on erikoista, että lakimuutos siirtää vastuun osaamattomille, ei osaaville.

Väärään wlaniin vahingossa liittyvät ovat yhtä lailla osaamattomia. Ero on vain siinä, ettei ulkopuolinen voi ratkaista ongelmaa salaamalla verkkoa ... tai no voi, mutta se olisi jo kiusantekoa.

Näin voi ollakin, mutta tahaton tai havaitsematon teko ei ole rangaistavaa.

Näin tulkittuna nykynen laki olisi kyllä parempi, mutta rangaistaanhan vahingostakin, jos se on johtunut huolimattomuudesta.

Petteri Järvinen kirjoitti...

Tietoturva ei ehkä lain myötä parane, eikä se ole varmaan tarkoituskaan.

OM:n tiedotteessa sanotaan näin: "Ehdotettu muutos siirtäisi vastuuta verkon suojaamisesta sen omistajalle, millä olisi myös tietoturvallisuuden parantamiseen ohjaava vaikutus"

Eli kyllä, yhtenä tavoitteena on tietoturvan parantaminen siirtämällä vastuuta omistajalle, ei tekijälle. Tämä on nähdäkseni yleisen oikeusperiaatteen vastaista.

Näin tulkittuna nykynen laki olisi kyllä parempi, mutta rangaistaanhan vahingostakin, jos se on johtunut huolimattomuudesta.

Yleensä vain tahallisesta teosta rangaistaan. Poikkeuksena ovat lait, joissa nimenomaisesti velvoitetaan huolellisuuteen.

Jos tietokone tai puhelin ottaa automaattisesti yhteyden naapurin verkkoon, siitä ei voi rangaista koneen käyttäjää.

Osaava henkilö on se, joka tarkoituksella haluaa jakaa wlan-yhteytensä naapurien ja ohikulkijoiden käyttöön. Silloin he osaavat myös halutessaan merkitä sen niin, että jokainen tietää aseman käytön olevan vapaata. Siksi oletusarvona pitäisi olla, että avoin tukiasema ilman tätä merkintää on avoinna tahattomasti.

Petteri Järvinen kirjoitti...

Tässä vielä yksi kiinnostava näkökulma: jos eduskunta hyväksyy piratismin torjuntaan tarkoitetun lain, kenelle tekijänoikeusjärjestöt jatkossa lähettävät varoituskirjeensä? Liittymän haltijalle (joka ei ehkä tiedä mitään koko asiasta) vai liittymän käyttäjälle (joka ei tiedä mitään koko kirjeestä)?

Pekka Hapuli kirjoitti...

Mielestäni avoin wlan on kuin lupa käyttää, vähän kuin puiston penkit tai kaupan pyöräteline.

Olisi hyvä jos verkon nimen kanssa lähetettäisiin tieto siitä onko verkko tarkoitettu yksityiseksi vai julkiseen käyttöön, saako sitä lainata tarvittaessa vai voiko sitä käyttää tylsyyden tappamiseen.

Olettaisin silti että ihmiset ovat niin röyhkeitä että käyttävät sitä silti vaikka se olisi tarkoitettu vain "hätätapauksessa" käytettäväksi.

ottomatias kirjoitti...

Syyttäjät ja poliisit ainakaan Helsingissä eivät suostu tutkimaan edes moisia rikoksia. http://ottomatias.posterous.com/onko-avoimen-wlanin-kayttaminen-rikos

Petteri Järvinen kirjoitti...

Ottomatiaksella on mielenkiintoinen kirjoitus. Se osoittaa, ettei poliisi lähde tutkimaan edes pyynnöstä luvatonta wlan-käyttöä. On siis kovin teoreettinen tilanne, että käyttäjä joutuisi syytteeseen koneensa otettua automaattisesti yhteyden vapaaseen tukiasemaan.

Ottomatiaksella on toinenkin kiintoisa pointti: wlan-suojaus voi nollautua käyttäjän sitä tarkoittamatta. Jos siis oma verkkosi ei ole avoin, tarkista onko salaus todella käytössä!

jaska kirjoitti...

Kyllä toi lukitsemattomaan oveen vertaaminen on hieman väärin. Wlan tukiasema kuitenkin kuuluttaa olemassaoloaan ja avoimuuttaan sekä tunkeutuu jopa naapurin puolelle.

Ongelman juurisyy nähdäkseni on se, että ihmiset ostavat ja heille kaupataan laitteita joita he eivät osaa käyttää. Minä heittäisin pallon kuluttajaviranomaisille.

Jospa minäkin rinnastan ulko-oviin. Kenen vika on, jos asentamasi uusi sähkölukko kutsuu naapurisi kylään ja avaa hänelle ulko-oven, kun hän kulkee ohi. Tämä ominaisuus toki selostettiin käyttöohjeissa ja sen saa kytkettyä pois päältä.

Jukka Lindgren kirjoitti...

Jotta nykytilanteen mukainen vastuu tekijällä toteutuisi oikeasti, pitäisi kaikkiin Suomeen tuotaviin WLAN-tukiasemiin vaatia lainsäädännöllä erityinen Suomi-versio niiden perusasetuksista, missä verkko olisi oletusarvoisesti suljettu. Vain näin voitaisiin varmistaa, että avoin verkko on todellakin tietoisesti avattu.
Realismia? Hmm...

Nythän verkon käyttäjän on täysin mahdotonta tietää, onko verkko avoin tarkoituksella, vai vahingossa. Tilanne on sama kuin maatiellä olisi nopeusrajoituskyltti, joka olisi vain tasaisen harmaa ja kuljettajan olisi vain tiedettävä, mikä olikaan nopeusrajoitus...

Samaten nykyinen lainsäädäntö mahdollistaisi minun perustaa ison joukon 'Honeypot' -WLANeja, kerätä lokiin kaikkien käyttäjien MAC-osoitteet ja haastaa jokainen heistä käräjille! Tämä toimisi hienosti keskustassa, missä on muutenkin suuri määrä avoimia verkkoja.

Tekijänoikeusjärjestöt luonnollisesti lähettäisivät mahdolliset ennakkovaroituskirjeensä ("cease-and-desist") liittymän haltijalle, joka siten havahtuisi joko suojaamaan liittymänsä - tai ryhtyy selvittämään, kuka käyttää oikeudettomasti hänen Internet-yhteyttään. Molemmissa tapauksissa laiton jakelu loppuisi tässä liittymässä.

Tietoturva varmastikin paranee, kunhan tiedostuvälineet vain kertovat näkyvästi lainmuutoksesta. Esimerkiksi eräs hyvin tunnettu IT-alan julkaisija, Petteri Järvinen, voisi tehdä siitä artikkelin MikroBittiin ja Tietokone-lehteen. Ja eiköhän se Hesarissakin ylittäisi julkaisukynnyksen...

Petteri Järvinen kirjoitti...

Jospa minäkin rinnastan ulko-oviin. Kenen vika on, jos asentamasi uusi sähkölukko kutsuu naapurisi kylään ja avaa hänelle ulko-oven, kun hän kulkee ohi.

Oleellista on se, kuka tekee päätöksen. Vaikka ovi aukeaisi, ohikulkija tietää ettei sisään voi mennä noin vain. Sisään meneminen on tietoinen päätös, ovi voi jäädä auki vahingossa. Nykytilanteessa ei voida rangaista sitä, joka tietämättään käyttää naapurin verkkoa. Nyt tämä haluaan kääntää päälaelleen: naapurin verkkoa saa käyttää tietoisesti, vaikka naapuri itse ei olisi sitä tarkoittanut, ja vaikka käytöstä voi kertyä hänelle harmia.

Nythän verkon käyttäjän on täysin mahdotonta tietää, onko verkko avoin tarkoituksella, vai vahingossa.

Valtaosa verkoista on auki tahattomasti. Verkko voi myös aueta puolivahingossa, kuten Ottomatias kuvasi. Päinvastaista ei voi tapahtua.

Jos on epävarmaa, saako jotain asiaa käyttää, on tapana tulkita asiaa tiukasti ja siirtää selonottovelvollisuus käyttäjälle. Nähdäkseni missään muualla velvollisuutta ei aseteta omistajalle. Wlanin tapauksessa tulkintaa tukee myös asian tekninen luonne. Ne, jotka haluavat tietoisesti jakaa yhteytensä, ovat teknisesti osaavia ja pystyvät merkitsemään sen.

jaska kirjoitti...

Oleellista on se, kuka tekee päätöksen. Vaikka ovi aukeaisi, ohikulkija tietää ettei sisään voi mennä noin vain. Sisään meneminen on tietoinen päätös, ovi voi jäädä auki vahingossa.

Paitsi, jos se sähkölukko vielä oven avaamisen lisäksi kutsuu sisään kahville.

Eikös wlan tukiasema teknisesti ottaen tee juuri näin. Huutelee, että "täälä verkko. käyttäkää".

Mielestäni olisi paras linjata hieman myyjien vastuuta. Jos ihminen menee kysymään wlan-tukiasemaa kotikäyttöön, niin myyjä voisi mainita, että oletusasetuksilla laite tulee myös naapurin kotikäyttöön. Sen jälkeen kuluttaja voi harkita, että haluaako opetella tällaisen laitteen käyttöä vai ostaako kenties samalla asennuspalvelun.

Vastaavia sääntöjä ja ohjeita kuluttajaviranomaiset antavat jatkuvasti.

Se että eroteltaisiin automaattinen tai manuaalinen(tahallinen) käyttö on mielestäni ongelmallista. Kyllä ihmisillä pitää olla vastuu myös laitteidensa tekemisistä ja myyjien vastuulla on antaa riittävät tiedot myymiensä tuotteiden ominaisuuksista.

Pekka Hapuli kirjoitti...

Ainakin joillakin buffalon laitteilla verkon voi suojata puolivahingossa automaattisen säätötoiminnon avulla joka suoritetaan painamalla laitteen päällä olevaa namiskaa.

Website Security Test