tiistai 31. joulukuuta 2013

Vakoilijan postimyyntiluettelo

Lupaan, että tämä on viimeinen kirjoitus NSA:sta ja Snowdenista -- ainakin tänä vuonna : -)

Hesarin Laura Halminen kirjoitti 30.12.2013 tuoreimmista NSA-paljastuksista otsikolla "NSA:n työkalupakki pöyristyttää -- otteet kuin tieteiskirjallisuudesta." Harri Hursti tiivisti tunnelmat osuvasti Facebook-päivityksessään: "OK, we were not paranoid enough. I need thicker tin foil for my hat."

NSA:lta vuodettu listaus erilaisista palomuurien ja turvalaitteiden ohitusvälineistä on kuin vakoilijan postimyyntiluettelo. BIOS- ja käyttöjärjestelmäpäivityksen kestäviä takaovia löytyy erilaisiin tarkoituksiin ja onpa luettelossa myös gsm-puhelinten salakuunteluun käytettäviä valetukiasemia. Vakoilulaitteilla voidaan seurata näytön sisältöä (ilmeisesti modernisoitu versio vanhasta TEMPESTistä) ja imeä kaikki tieto iPhone-puhelimista.

Katalogi on ilmeisesti muutaman vuoden ikäinen, uusi versio lienee entistä laajempi ja kattavampi.

Ja vain vähän aikaisemmin oli paljastettu, miten NSA nappaa asiakkaille toimitettavia tietokoneita itselleen asentaakseen niihin urkinnan mahdollistavia takaovia.

Viimeistään nämä uutiset vievät pohjan NSA:n ja Obaman selittelyiltä, miten urkintaa käytetään vain terrorismin torjuntaan. Tässä on kyse rajattomasta tiedonhankinnasta, jolla pyritään oman vaikutusvallan laajentamiseen epäeettisin, laittomin (vaikkei valtion oma vakoilu olekaan lain piirissä) ja häikäilemättömin keinoin.

Venäjä ja Kiina pyrkivät epäilemättä nekin parantamaan asemiaan tulevassa digitaalisessa kilpavarustelussa. Vielä keväällä kohistiin siitä, miten kiinalaiset -- ilmeisesti armeijan osana toimivat -- hakkerit ovat murtautuneet kaikkiin merkittäviin Yhdysvaltojen yrityksiin ja laitoksiin aina puolustusteollisuutta myöten. Kongressin raportissa esitettiin huoli myös siitä, miten kiinalaisten verkkolaitteiden käyttö vaarantaa kansallisen tietoturvan. Ei sanaakaan siitä, että USA tekee itse samaa vielä paljon laajemmassa mittakaavassa. Sen sijaan Yhdysvallat on syyttänyt Kiinaa ja Venäjää verkon pahimmiksi varkaiksi. Snowden-paljastusten alettua kesäkuussa Kiinan hakkerointi putosi kokonaan otsikoista. Mahdetaan Pekingissä olla tyytyväisiä!

Tuoreimmat paljastukset asettavat uuteen valoon myös syyskuisen Tietoviikon uutisen, jonka mukaan HP:n läppärissä on outo tietoturvaongelma: sen mkrofoni salakuuntelee ympäristöä ja lähettää tiedot radiolla eteenpäin.

Jutun mukaan (alkuperäinen täällä, loppu maksumuurin takana) eräs (ei-amerikkalainen) käyttäjä havaitsi EliteBook 8460p-koneensa lähettävän ääntä 24 MHz taajuudella. Hän ihmetteli, miksei saanut toistettua ongelmaa toisella samanlaisella läppärillä. Alkuperäinen keskustelu löytyy Reddit-palvelusta.

Arvatenkin NSA:n TAO-hakkeriyksikkö oli muokannut konetta niin, että siitä oli tullut salakuuntelulaite. Tarinan opetus on, että NSA:n salaovet eivät välttämättä perustu ip-tekniikkaan, vaan voivat käyttää vanhanaikaista radiotekniikkaa.

Herääkin kysymys, mahtaako Suomessa olla tällaisia salakuuntelukoneita. Vaikka pimentäisit läppärin kameran laastarilla, mikrofoni jää auki.

NSA-paljastukset käyvät yhä hurjemmiksi, joten on mahdotonta ennakoida tulevaa. Itse en olisi lainkaan yllättynyt, jos virustorjuntaohjelmista paljastuisi vakoiluominaisuuksia. On turha kuvitella, että yhteistyövelvoite koskee vain Googlen, Facebookin ja Microsoftin kaltaisia pilvipalveluita. Amerikkalaiset virustorjuntaohjelmat (kuten Norton ja nykyään Intelin omistama McAfee) voivat urkkia NSA:n vaatimuksesta koneen tiedostoja.

Urkinnan kannalta virustorjunta on loistava apuväline, koska tavallisista sovelluksista poiketen sillä on pääsy kaikkiin tiedostoihin, prosesseihin ja muistiin. Se toimii admin-oikeuksilla ja päivittää itsensä automaattisesti, ohittaen Windowsin palvelut. Ohjelman urkintapiirteet voi siten piilottaa aina tarvittaessa versiopäivitykseen.

Pelottavaa, joskin mielenkiintoista uutta vuotta kaikille tietoturvasta kiinnostuneille!

perjantai 20. joulukuuta 2013

Ministeri Kyllönen: oikeudenmukaisuus on muutakin kuin asuinpaikka

Liikenneministeri Merja Kyllönen on "hämmentynyt Jorma Ollilan työryhmän tuoreen raportin saamasta nopeasta kielteisestä julkisuudesta". Ei pitäisi olla. Kilometrivero on ollut julkisessa keskustelussa jo parin vuoden ajan (omat kirjoitukseni neljän vuoden ajalta), joten kyse ei todellakaan ole hätiköidystä tai nopeasta tyrmäyksestä.

Esityksen sisältö tiedettiin jo syyskuun alussa, jolloin ministeriö halusi vielä kieltää keskustelun ehdotuksen keskeneräisyyteen vedoten. Ainoa, mikä muuttui, oli kaupungeista perittävän kilometrin hinta. Arviointivirheen vuoksi se oli selvästi ylimitoitettu.

Missähän ministeri on aikansa viettänyt, jos nihkeä vastaanotto tulee hänelle yllätyksenä?

Harvoin kai uusia veroja on riemuiten vastaanotettu. Nyt on tosin porkkanana autoveron alentaminen, mutta useimmille uudistus tietäisi verotuksen kiristymistä, arjen vaikeutumista ja kilometrikorvauksista luopumista. Tarvitseeko siis ihmetellä, miksi vastaanotto on nuiva?

Kilometrikorvauksista joudutaan luopumaan jo senkin vuoksi, että muutenhan kilometriveron maksut menevät työantajan piikkiin ja nykyisellään työmatkakulut saa vähentää verotuksessa.

YLEn uutisessa ministeri vetoaa "sosiaaliseen elementtiin, jollaista nykyverotuksessa ei ole". Hänen mielestään kilometrivero mahdollistaa "sosiaalisen oikeudenmukaisuuden" verottamalla kaupunkilaisia enemmän kuin maalaisia. Oikeudenmukaisuus on nostettu uudistuksen keskeiseksi teemaksi.

Silloin unohtuu, että alueellinen tasa-arvo on vain yksi oikeudenmukaisuuden laji monien muiden joukossa -- ja vieläpä suhteellisen vähämerkityksellinen, sillä asuinpaikkaan voi itse vaikuttaa. Jos alueellista oikeudenmukaisuutta halutaan, eikö asumisen verotusta pitäisi vastaavasti keventää kaupungeissa? Onko oikein, että maalla asuminen on paljon halvempaa?

Onko se oikeudenmukaista, että kaupunkilaisia verotetaan enemmän työmatkoista? Onko oikeudenmukaista, että työssäkäyvät joutuisivat maksamaan siitä ilosta, että saavat jonottaa aamuruuhkassa Kehä I:llä? Onko oikeudenmukaista rangaista vanhempia siitä, että lapset harrastavat jääkiekkoa, ratsaastusta tai ylipäätään jotain muuta kuin tietokoneen ääressä istumista?

Ministeri esitti myös verhotun uhkauksen: jos kilometriveroa ei hyväksytä, bensan hinta "ponnahtaa arvioiden mukaan jopa eurolla per litra". Ilmeisesti tämä korotus tulisi pelkästä verosta, ei raaka-aineen kallistumisesta, mikä sekin on ennen pitkää edessä.

Ministeri Kyllöstä ei käy kateeksi. Negatiivisen julkisuuden vuoksi juuri kukaan poliitikko ei ole halunnut tukea hanketta julkisesti. Jopa vihreistä alkaa kuulua epäröintiä ja kritiikkiä. Vain Osmo Soininvaara on pysynyt jämäkästi veron takana ja lupaa ratkaista helposti kaikki sen tietosuojaongelmat.

Saapa nähdä, jaksaako ministeriö puskea vielä ensi vuodenkin vastatuuleen. 

torstai 19. joulukuuta 2013

Paljonko autojen gps-valvonta maksaisi?

GPS-tiemaksun keräyskustannukset aiheuttavat paljon keskustelua. Paljonko autoon asennettava laite maksaisi? Koska mitään päätöksiä tai edes tarkkoja suunnitelmia ei ole, joudumme arvailemaan.

Olettaen, että tiedot matkoista kerätään viranomaisen tietokantaan eikä niitä säilytetä auton omassa muistissa, hyvinkin yksinkertainen laite riittää. Siinä pitää olla vain gps-paikannussiru, yksinkertainen ohjelmisto ja gsm/3g-datayhteys. Miljoonan kappaleen erissä laitteen hinta tuskin on 50 euroa enempää. Halvinkin älypuhelin on laitteena monimutkaisempi ja kalliimpi (mm. oma akku ja näyttö).

Mutta tämä on vasta alkua. Laite on upotettava autoon niin, ettei omistaja pysty peukaloimaan tai irrottamaan sitä. Jotta paikannussignaali olisi luotettava, auton kattoon on upotettava antenni. Lisäksi laitteen pitää olla sellainen, että kun auto vaihtaa omistajaa, omistajan identiteetti voidaan siirtää laitteesta toiseen -- jonkinlainen sim-korttiratkaisu siis. Toinen vaihtoehto on numeroida laitteet juoksevasti ja antaa viranomaisen pitää kirjaa siitä, ketä autosta kullakin ajanhetkellä laskutetaan.

Oleellista on, että tiedot kerätään raakamuodossa viranomaisen haltuun. Vain silloin laskutusperusteita on helppo muuttaa ja porrastaa esimerkiksi kellonajan, auton nopeuden, maksuvyöhykkeen, lasten määrän tai omistajan tulotason mukaan. Jos laskutuslogiikka ohjelmoidaan laitteen sisään ja upotetaan autoihin niin, että se antaa ulos vain laskutettavan loppusumman, järjestelmän hienosäätö käy mahdottomaksi.

Ja juuri se on verottajan intressi koko asiassa. GPS-tiemaksu ei ole mikään valmis maksujärjestelmä vaan infrastruktuuri, jonka päälle rakennettavalla sovelluksella liikennettä tullaan jatkossa verottamaan ja ohjailemaan.

Uusissa autoissa gps-antenni on jo nyt vakiovaruste. Todennäköisesti EU-alueella päädytään yhteiseen järjestelmään, joka käyttää Euroopan omaa Galileo-paikannusta (nimi GPS-tiemaksu on siis harhaanjohtava, pitäisi puhua Galileo-maksusta). Tällöin laite voidaan upottaa auton rakenteisiin jo tehtaalla, eikä omistaja pysty repimään sitä irti (sivumennen sanoen tämä tekee kansallisten ratkaisujen kehittämisestä lyhytnäköistä, näin iso asia tullaan päättämään autonvalmistajien kesken ja yhtenäisesti koko EU:ssa).

Vanhat autot ovat ongelma, koska niihin laitteisto pitää asentaa jälkikäteen. Syntyy samanlainen markkinarako kuin 1980-luvulla oli autopuhelinten asennuksessa. Moni pieni firma eli Mobiran ja Ericssonin puhelimia asentamalla ja irrottamalla, kun auto myytiin eteenpäin. GPS-tiemaksulaitteen asennustyö tulee maksamaan useita satoja euroja autoa kohden.

Lisäksi tarvitaan datayhteys, jonka kautta laite lähettää reaaliajassa tai muutaman tunnin viiveellä tiedot ajoista viranomaiselle laskutusta varten. Datamäärät ovat vähäisiä, joten liittymän kustannus on joitakin kymmeniä euroja vuodessa. Operaattorit kiittävät. Ne tulevat tuotteistamaan erityisiä autoveroliittymiä ("big brother dataliittymä" voisi olla kuvaava, joskaan ei kovin myyvä markkinanimi) tätä tarkoitusta varten.

Ajotietojen vastaanotto- ja laskutusjärjestelmän pitää olla massiivinen, koska sen on otettava vastaan parin miljoonan lähettäjän tietoja 24/7-periaatteella. Kustannuksia on mahdoton arvioida, ne riippuvat täysin järjestelmän tekniikasta ja toteuttavasta tahosta. Mahdollisesti tähänkin tulee jokin EU-standardi ja yhteinen ohjelmisto jokaiseen maahan. Keski-Euroopassa on tavallista, että autot liikkuvat maasta toiseen jopa monta kertaa päivässä, joten järjestelmien on tästäkin syystä oltava yhtenäisiä.

Tiedon kerääminen ja laskutus voidaan automatisoida, mutta asiakaspalvelu, reklaamaatiot ja liitynnät muuhun verotukseen tulevat työllistämään kymmeniä ellei satoja ihmisiä.

Lisäksi tarvitaan valvonta. On tunnistettava autot, joissa laitteisto on mykistetty tai jotka käyttävät GPS-häirintälähetintä. Poliisi voi tehdä pistokokeita ratsioissa ja varustaa autot GPS-häirintäpaljastimilla. Nykyiset kameratolpat voidaan varustaa antureilla, jotka vertaavat auton rekisterinumeroa ja sen lähettämiä ajotietoja toisiinsa. Jos tiedot eivät täsmää, auton omistajaa sakotetaan.

Kaikki tämä maksaa. Oletan, että taustajärjestelmä ylläpitokuluineen tulee huomattavasti kalliimmaksi kuin autoihin asennettavat laitteet. Nykyisillä lähtötiedoilla on kuitenkin mahdotonta arvioida asiaa tämän tarkemmin.

Tämä kaikki tietenkin vain, jos Suomi päättää ottaa GPS/Galileo-maksut käyttöön.

keskiviikko 18. joulukuuta 2013

Tiedonkalastelua Applen nimissä

Aina välillä tulee tavallista aidompia tiedonkalasteluyrityksiä. Tämä oli sellainen:

Joku on muka vaihtanut Apple ID -salasanasi.
Viesti näyttää aidolta ja uskottavalta, melkein erehdyin itsekin klikkaamaan iforgot.apple.com-linkkiä. Kun hiiren vie linkin päälle, Outlook näyttää sen takana olevan osoitteen, joka tässä tapauksessa oli saksalaiselle palvelimelle. Tiedonkalastelua, siis.

Pitihän se kokeilla. Saksalainen palvelin siirsi edelleen uuteen osoitteeseen ja näytölle tuli iTunesin aidolta näyttävä kirjautumissivu:

Tässä urkitaan Apple ID -tunnukset.
Hyvä niksi tunnistaa tiedonkalastelu on kirjautua tahallaan väärillä tunnuksilla. Oikean palvelun pitäisi antaa virheilmoitus, kalastelijalle kelpaa mikä tahansa. Kuten aina, kirjauduin palveluun nimellä Joulu Pukki ja salasanalla Korvatunturi. Täydestä meni. (Tosin voihan olla, että joulupukki on iTunes-käyttäjä ja varannut itselleen juuri nämä tunnukset).

Seuraavalla sivulla kysyttiin sitten luottokortin tiedot -- pitihän palvelun varmistaa, että asialla oli Apple ID -tilin "oikea" omistaja. Täytin tiedot Joulupukin nimellä. Näin joulun alla hän on varmaan vinguttanut korttiaan urakalla kaikkien Suomen lasten puolesta.

Lopuksi huijari siirsi uhrin oikealle Applen kirjautumissivulle. Vähän hitaampi käyttäjä tajusi viimeistään tässä vaiheessa tulleensa huijatuksi ja luovuttaneensa tärkeät tiedot väärään paikkaan.

Tänä aamuna kalastelusivun osoite oli jo päätynyt selainten estolistoille. Firefox varoitti osoitteesta näin:

Firefoxin varoitussivu.
Chromen varoitus on tällainen:

Chromen varoitussivu.
Internet Explorer reagoi asiaan näin:

Internet Explorerin varoitussivu... ai niin, sitä ei ole.
Periaatteessa myös IE varoittaa käyttäjiään epäilyttävistä sivuista, mutta kuten usein ennenkin, sen tietokanta päivittyy hitaasti. Ilmeisesti Microsoft pitää itse yllä omaa sulkulistaansa, kun taas Firefox ja Chrome luottavat käyttäjien joukkovoimalla ilmoittamiin tietoihin. Siksi ne toimivat, IE ei.

tiistai 17. joulukuuta 2013

Vielä ajatuksia tiemaksusta

GPS-tiemaksu herättää monenlaisia ajatuksia. Keskustelu alkoi yli neljä vuotta sitten, kun Helsinki päätti ryhtyä selvittämään ruuhkamaksujen käyttöönottoa. Silloin kirjoitin aiheesta ensi kertaa blogiini (Helsingin päätös tuo gps-valvonnan autoihin 3.11.2009). Suunnitelmat ovat ehtineet muuttua moneen kertaan matkan varrella, mikä käy ilmi muista aihetta koskevista blogikirjoituksistani.

Autojen GPS-valvonta on aiheena niin uusi ja monitahoinen, että siitä löytyy jatkuvasti uusia näkökulmia.

Ministeri piti aamu-tv:ssä parhaana jakaa Suomi vähintään kolmeen maksuvyöhykkeeseen. Millainen vääntö maksuista lopulta tuleekaan kun asia politisoituu paitsi puolueiden (keskusta, kokoomus, vihreät) myös kuntien välillä.

Tähän asti autoilun verotuotot ovat menneet valtiolle, koska niitä ei ole voitu kohdistaa kuntiin. Kunta vastaa katujen puhtaanapidosta ja aurauksesta. Eikö olisi oikein, että se saisi määrätä teidensä kilometrimaksun? Ajokilometrin hinnasta tulisi ehkä kunnallisveron kaltainen tuloerä. Ehkä se johtaisi jopa kilpailuun ("muuta meille, meillä autoilu on halpaa!").

Vai kävisikö päinvastoin niin, että valtio joutuisi tukemaan kriisikuntien asukkaita maksuja alentamalla? Ajokilometrin hinta vaikuttaa suoraan kuntalaisten elintasoon.

Samassa aamun keskustelussa Oras Tynkkynen vaati maksuun myös aikaporrastusta, mikä veisi sen lähelle alkuperäistä ruuhkamaksua. Hän myös esitti, että maksu tulisi määrätä talouskohtaisesti sen mukaan, miten helppo perheen olisi käyttää julkisia liikennevälineitä. Oikeudenmukaisuus onkin yksi järjestelmän keskeisistä lupauksista.

Jos maksua lähdetään hienosäätämään näin monen muuttujan mukaan, upotaan suohon. Tai sitten joudutaan perustamaan virasto, joka määrittelee perhekohtaisen kilometrihinnan auton koon, lasten määrän, harrastusten ja työpaikan sijainnin mukaan.

Jorma Ollila takelteli eilen A-Studiossa mallia puolustaessaan. Näki, että tehtävä ei ollut hänelle mieluisa. Osa argumenteista oli keinotekoisia eikä olisi kestänyt, jos toimittaja olisi tarttunut niihin.

Erityisesti yksi kohta jäi mieleeni: "Polttoaineveron korottaminen on mahdotonta. Emme voi ajatella, että bensan hinta olisi yli kaksi euroa litralta. Siitä kärsisivät erityisesti maaseudulla asuvat köyhät ihmiset".

Saapa nähdä. Veikkaan, että hinta ylittää kaksi euroa paljon ennen kuin GPS-järjestelmä tulee käyttöön. Seuraava veronkorotus on jo parin viikon päästä. Öljy-yhtiö Shellin hallituksen puheenjohtajana Ollila tietenkin toivoo, ettei bensan hinta nousisi liikaa.

Toinen erikoinen asia oli lupaus "jopa muutamista tuhansista hyväpalkkaisista työpaikoista", jotka järjestelmä epäsuorasti loisi. Järjestelmä joudutaan kuitenkin kilpailuttamaan eikä ole mitään takeita, että suomalaiset saavat kaupan. Ehkä Ollila tarkoitti työpaikoilla valvonnan vaatimia uusia verovirkailijoita? Muutoin hanke, lupaukset ja Nokian osallisuus siinä kuulostavat samalta kuin digi-tv:ssä 15 vuotta sitten. Kuka vielä muistaa, että Nokiasta piti tulla merkittävä digiboksivalmistaja?

Oleellista on, että järjestelmä myydään kansalaisille rehellisin argumentein. Ei kannata luottaa nykyisiin hintoihin eikä laskentamalleihin. Kun laitteet on saatu autoihin, kilometrihintoja voidaan nostaa ja järjestelmää muuttaa loputtomiin. Valtiolla on paljon enemmän mahdollisuuksia rahastukseen kun nykyisessä mallissa, jossa keräyskohtia on vain kolme (polttoainevero, autovero, vuosittainen käyttömaksu). Verokertymän ei varmasti anneta laskea siitä, mitä se nyt on, vaikka oman auton käyttö vähenisi. Kun tähän vielä lasketaan päälle järjestelmän rakentamis- ja käyttökustannukset on selvää, että autoilijan verotaakka tulee jatkossa nousemaan.

Loppukevennyksenä viittaus tietosuojaan ja GPS-valvonnan epätarkkuuteen: Paikkatietoon pohjautuva verotuksenne saapui. Juuri tämän vuoksi kaikki ajot on tallennettava ja autoilijalla oltava mahdollisuus tarkistaa ne itse laskun oikeellisuuden varmistamiseksi.

Kuten nämäkin esimerkit osoittavat, aiheesta riittää keskustelunaiheita vielä pitkään.

maanantai 16. joulukuuta 2013

Nyt se on virallista: GPS-tiemaksu

GPS-tiemaksutyöryhmän ehdotus on vihdoin julkistettu. Siinä ei ole mitään yllättävää, kaikki elementit ovat olleet julkisessa keskustelussa ja kritiikin kohteina jo parin vuoden ajan.

Ehdotuksessa luvataan toteuttaa järjestelmä tietosuojaa vaarantamatta. Mutta miten tämä tehdään, sitä ei kerrota. Se tulee olemaan liki mahdotonta, sillä verotuksen oikeellisuuden tarkistamiseksi ajot on rekisteröitävä jonnekin, ja jos ne ovat jossain saatavilla, on vain ajan kysymys milloin tietoja aletaan käyttää muihinkin hyviin tarkoituksiin. Niin on käynyt aina ennenkin.

Tänään sanottiin julki myös se aiemmin lausumaton tosiasia, että uudistukseen pakottavat liian ekologiset autot. Ne kuluttavat niin vähän bensaa, ettei haittavero enää tuota entiseen malliin. Haittaverot ovat ongelmallisia, koska ne ohjaavat kulutusta verotuoton vähenemisen suuntaan. Vero joko onnistuu fiskaalisesti, jolloin haitat säilyvät, tai onnistuu poistamaan haitan, jolloin tuotto romahtaa. Suo siellä, vetelä täällä.

Autoilun haittoihin luetaan yleensä myös ruuhkat, kolarit ja asumisviihtyvyyden lasku. Niitä voi mitata, mutta kuka mittaisi autojen hyötyjä yhteiskunnalle? Jos gps-maksu onnistuu vähentämään autoilua 30 miljoonan matkan verran (tällainen arvio ei voi perustua muuhun kuin isoon stetsoniin, sitähän on mahdoton arvioida), mistä se on poissa? Jäävätkö ihmiset koteihinsa vai viettävätkö he yhä enemmän aikaa verkkopalveluissa? Mikä on sen vaikutus palveluammatteihin ja talouteen?

On jokseenkin idealistista uskoa, että gps-maksun myötä 30 miljoonaa automatkaa korvattaisiin vastaavilla joukkoliikennematkoilla. Ja millaisia seurauksia tästä joukkoliikenteen kasvusta olisi niin ympäristölle kuin ihmisten tuottamattoman ajankäytön lisääntymiselle?

Avoimeksi jäi vielä monia yksityiskohtia, kuten se, mitä tapahtuu autoveron poistuessa. Paljon kuluttavat loistoautot halpenevat suhteessa eniten. Autot halpenevat, niillä ajaminen kallistuu. Tuleeko Suomesta siis Porschejen ja Ferrarien luvattu maa?

Suomen jakaminen maaseutuun ja kaupunkiin tulee aiheuttamaan mielenkiintoisen ilmiön, sillä se politisoi autoilun verottamisen ihan uudella tavalla. Keskustan kannattaa luvata, että valtaan päästessään se alentaa maaseudun tariffia ja nostaa kaupunkihintaa. Kokoomus lupaa todennäköisesti päinvastaista -- ja vihreät lupaavat korottaa molempia.

Nyt, kun ehdotus on julkistettu, on aika avoimelle keskustelulle. Kannattaako Suomen lähteä pioneeriksi gps-maksuissa, vai olisiko autoilun rahoitus järjestettävissä yksinkertaisemmalla tavalla?

Lisäys klo 20: Tämä yhtälö on jokseenkin mahdoton, sillä perimmäisenä tavoitteena on ohjata kansalaisten käyttäytymistä veroilla mutta kuitenkin niin, että veron tuotto ei saa laskea eikä käyttäytyminen siis muuttua : -) Mission impossible. 

sunnuntai 15. joulukuuta 2013

Wilma tuli Windows 8:lle

Viime viikolla Wilmasta ilmestyi Windows 8 -versio. Tämä on näppärä veto Microsoftilta: tekemällä hyödyllisen sovelluksen Windows 8:n uuteen käyttöliittymään se lisää kiinnostusta käyttöjärjestelmää kohtaan. Muutoin Windows 8:n vastaanotto on ollut vähintäänkin vaisu.

Wilma Windows 8:ssa
Wilma käyttää oikeaoppisesti Windows 8:n käyttöliittymäelementtejä. Koulun lähettämät viestit näkyvät ilmoituksina työpöydän päällä, joten ne on helppo havaita. Uutta on sekin, että samaan ohjelmaan saa nyt kaikkien omien lasten tiedot, vaikka he olisivat eri kouluissa.

Mitään erityistä syytä Windows 8:lle ei taida olla. Aivan yhtä hyvin ohjelman olisi voinut tehdä tavalliseen Windowsiin. Ensi vuoden puolella on luvassa versio Windows Phone -puhelimille, myöhemmin todennäköisesti myös Androidille ja iOS:lle. Niistä päättää palvelun tuottaja Starsoft itse.

Yksi asia kuitenkin pistää itseäni ikävästi silmään: olen aina halunnut tietää, miksi Wilmassa käytetään sanaa pikaviesti, vaikka kyse on tavallisista sähköpostiviesteistä. Viime viikon julkistustilaisuudessa kysyin tätä tekijältä. Hän sanoi, että on haluttu tehdä selvä ero Wilman viestien ja tavallisen sähköpostin välillä.

Miksi tämä on ylipäätään tarpeellista, sitä en ymmärrä. Opettajat käyttävät "pikaviestejä" tavallisina sähköpostitiedotteina. Niissä ei ole mitään pikaista eikä kiireellistä. Nykyään termi pikaviesti on vakiintunut viittaamaan online-keskusteluihin (Instant Message). Pikaviesti antaa vanhemmalle vaikutelman, että lapselle on sattunut jotain, mikä vaatii kiireellistä vastausta. Ja siitä ei tosiaan ole kysymys.

Jos sähköposti olisi huono valinta, niin miksei sitten pelkkä viesti? "Olet saanut uuden viestin Wilmasta".

keskiviikko 11. joulukuuta 2013

Paljastatko vahingossa sijaintisi Twitterissä?

Olen huomannut muutaman "televisiosta tutun" henkilön lähettävän twiittejä, joissa on mukana heidän sijaintinsa koordinaatit. Koska twiitit on lähetetty kotoa, ne kertovat kotiosoitteen. Sijainti voi olla mukana tarkoituksellisesti, mutta heidän tapauksessaan epäilin asiaa -- ja totta, tiedon välittyminen tuli heille yllätyksenä.

Mobiililaitteilla twiitatessa viesteihin voi lisätä paikan gps-koordinaatit. Web-käyttöliittymässä ne näkyvät pienenä paikkamerkkinä alimmalla rivillä:

Huomaa paikkamerkki ja "From Espoo"
Kun twiitti avataan, nähdään lisätietoja itse viestistä ja uudelleen sama paikkamerkki:

Edelleen "From Espoo, Uusimaa".
Sijainnista näytetään vain kunnan nimi, mutta sitä napsauttamalla nähdään osoite kartalla:

Tarkka sijainti avautuu kartalle.
Sijainti on niin tarkka, että se kertoo kadun nimen ja talon numeron -- sekä näyttää saman tiedon graafisesti.

Jos et halua, että kotiosoitteesi näkyy kaikille, varmista ettei Twitterin paikkatietoa ole kytketty päälle. Asetuksen tekeminen riippuu puhelimesta. Toki sijainnin näyttämiselle voi olla omat syynsä. Tärkeintä on, että tekee asiasta tietoisen valinnan.

iPhonessa paikannus estetään sovelluskohtaisesti asetuksista (Tietosuoja | Sijaintipalvelut):

iPhone ja Twitter-asetus.
Vaikka sijainti olisi päällä, sen voi poistaa viestikohtaisesti tökkäämällä sormella sinisenä näkyvää paikkamerkkiä. Väri häviää eikä viestiin lisätä sijaintia.

Androidissa lupa paikkatiedon käyttöön annetaan Twitter-ohjelman omissa asetuksissa:

Android.
Tässäkin tapauksessa sijainti voidaan estää viestikohtaisesti tökkäämällä sinistä paikkamerkkiä ikkunan oikeassa alareunassa. Sininen väri häviää eikä sijaintia lisätä.

Huomaa sininen merkki alanurkassa.
Windows Phonessa asetus on niin ikään Twitter-sovelluksessa:

"Käytä nykyistä sijaintia".
Asetuksella ei kuitenkaan ole suurta merkitystä, sillä jostain syystä koordinaatit eivät välity Twitteriin, vaan tuloksena on aina samanlainen virheilmoitus:

Sijaintitieto ei toimi.
Windows Phonen Twitter-ohjelma on ollut rikki ainakin keväästä lähtien. Muistelen, että se toimi vielä alkuvuodesta, mutta jokin päivitys rikkoi sen eikä asia ole korjaantunut. Tästä on se hyvä puoli, ettei Lumian käyttäjä voi paljastaa sijaintiaan vahingossa, kun ei se onnistu tarkoituksellakaan : -) Voisihan tuon tietysti joku korjatakin... sitten joskus.

Joskus sijainti voi mennä pahastikin metsään. Esimerkiksi junassa puhelin ei välttämättä saa tarkkaa sijaintia, joten se kysyy tietoa verkon ip-osoitteen perusteella. Se taas osoittaa operaattorin, ei käyttäjän sijaintia. Eilinen junamatka Tampereelta Helsinkiin antoi twiitin sijainniksi Kärsämäen:

Mmm... mitä? Eihän täällä ole raiteitakaan.

maanantai 9. joulukuuta 2013

Siirretään itsenäisyyspäivä kesään

Itsenäisyyspäivä oli sellainen kuin aina ennenkin: pimeää, räntäsadetta -- ja Tuntematon sotilas. Joulukuun alku on vihonviimeistä aikaa. Ei ole enää syksy, mutta ei vielä talvikaan.

Kun Suomi muutaman vuoden päästä juhlii sadannetta itsenäisyyspäivää, olisi oikea hetki tehdä radikaali muutos: siirretään itsenäisyyspäivä vuoden synkimmästä ajasta kesään. Se toisi juhlintaan ihan uutta ilmettä. Oli outoa nähdä, miten eteläafrikkalaiset kunnioittivat Mandelan kuolemaa tanssimalla kaduilla samaan aikaan kun suomalaiset kuuntelivat juhlapuheita ja melankolista musiikkia sekä muistelivat toista maailmansotaa. Pimeä aika leimaa myös itsenäisyyden juhlintaa ja tekee siitä kovin synkkää.

Ehdotan uudeksi itsenäisyyspäiväksi 4.6. Se on sopivasti kaksi päivää ennen Ruotsia ja valmiiksi puolustusvoimien lippujuhlan päivä. Yksi sotilasparaati vuodessa riittää. On sitä paitsi mukavampi marssia kesällä eikä yleisönkään tarvitse värjötellä pakkasessa.

Kesäkuun alku sopisi hyvin senkin vuoksi, että samoihin aikoihin nuoret itsenäistyvät ylioppilaiksi. Siinä olisi sopivaa symboliikkaa. Suomen tulevaisuus on nuorissa, ei Tuntemattomassa sotilaassa. Nuorten silmissä tämä mustavalkoinen filmi alkeellisine erikosiefekteineen näyttää enemmän camp-henkiseltä kuin maanpuolustushenkeä kohottavalta.

Ehkä satavuotias Suomi uskaltaa itsenäisyyspäivänä katsoa tulevaisuuteen eikä menneisyyteen. Itsenäisyyden merkitys ja sen uhkat ovat muuttuneet. Miksi itsenäisyydessä halutaan yhä katsoa menneeseen, kun kaikkialla muualla yhteiskunnassa ja yrityselämässä korostetaan muutoksen ja sopeutumisen merkitystä?

Tervetuloa aurinkoinen ja kesäinen satavuotias Suomi!

sunnuntai 1. joulukuuta 2013

Verkkopankki yhä turvallinen

Nettipankkien käyttäjiä on varoitettu tulossa olevasta laajasta hyökkäyksestä. "Vakava nettipankkihyökkäys uhkaa, tästä kannattaa olla huolissaan", kirjoitti Iltalehti.

Huolissaan ei kannata olla, varovainen kylläkin. Kyseessä on Citadel-pankkitroijalainen, josta KRP:n tietojen mukaan on liikkeellä suomalaispankkeja vastaan konfiguroituja versioita. Olisi kiva tietää, mitä pankkeja vastaan troijalainen on konfiguroitu, mutta jostain syystä tätä keskeistä tietoa ei ole paljastettu. Nyt siis kaikkien suomalaispankkien käyttäjien pitää olla huolissaan, mikä ei ole kovin viisasta mutta ainakin solidaarista.

Citadel toimii vain Windowsissa, joten Mac- ja Linux-käyttäjille se ei ole uhka. Ei liioin älypuhelimen tai tabletin käyttäjille.

Windows-käyttäjiä voi lohduttaa sillä, että kaiken maailman citadelleistä huolimatta nettipankki on yhä turvallisin tapa hoitaa laskujaan. Varsinkin näin pimeään ja liukkaaseen aikaan pankissa käynti on todellinen riski, jossa ovat vaarassa rahojen lisäksi myös oma terveys.

Mobiililaitteiden pankkikäyttö tapahtuu jatkossa yhä enemmän omien appsien kautta. Se lisää turvallisuutta, koska Citadelin nyt käyttämä man-in-the-browser-hyökkäystekniikka ei toimi. Appseihin on vaikeampi hyökätä kuin selaimella käytettäviin avoimiin nettipalveluihin -- kunhan appsi vain on aito ja ladattu luotettavasta lähteestä.

Ei siis huolestuta turhaan -- mutta varovaisuus kannattaa aina.

JK 2.12.2013: Hyökkäyksellä pelottelu tuntuu tosiaan menneen överiksi. Taustalla oli varmasti aitoa huolta, kun KRP kerrankin varoitti uhkasta etukäteen. Saattoi siinä olla vähän markkinointia ja klikkien kalasteluakin joukossa...

keskiviikko 13. marraskuuta 2013

Suomen Erkki Lumipesä teki palveluksen UM:lle

Edward Snowden (suom. Lumipesä) on järkyttänyt maailmaa koko kesän ja syksyn jatkuneilla urkintapaljastuksillaan.

Vaikka tietoverkot ovat tehneet vakoilun houkuttelevan helpoksi, tämä veitsi leikkaa molempiin suuntiin. Korppikotkan kolme päivää -elokuvassa CIA:n likaisen pelin paljastanut tiedusteluvirkailija lähettää juttunsa New York Timesin toimitukseen. Loppukohtauksessa CIA-johtaja pelottelee Robert Redfordia: "Kuinka pitkälle aiot päästä, jos juttua ei julkaistakaan?"

Wikileaksilla tai Edward Snowdenilla ei ollut tätä ongelmaa. Koko maailma oli heidän sanomalehtensä. Mikään sensuuri tai edes NSA ei pystynyt estämään paljastuksia.

UM:n vakoilutapaus merkitsee uuden ajan alkamista myös Suomessa. Yksi suurista kysymyksistä on, kuka vuoti tiedon urkinnasta medialle. Vakoilun piti olla vain erittäin pienen piirin tiedossa -- niin pienen, ettei edes ulkoasiainvaliokuntaa informoitu asiasta.

Miten siis media sai tiedon asiasta ja sopivasti juuri nyt, kun kaikki oleelliset selvitykset urkkijan paljastamiseksi oli ehditty tehdä? Oliko sisäpiirissä joku paikallinen Erkki Lumipesä, joka katsoi velvollisuudekseen tuoda asian julkisuuteen?

Vuotaja teki epäilemättä palveluksen ministeriölle. Vuosia jatkunut vakoilu, joka paljastui vasta ulkopuolisen vihjeen vuoksi, oli tapauksena niin nolo, että siitä tiedottaminen olisi ollut hankalaa. Lumipesän ansiosta ministeri Tuomioja pääsi helpolla. Torstai-illan tiedotustilaisuudessa hänen tarvitsi vain esittää salamyhkäistä eikä vastata oikein mihinkään, koska "tutkimukset ovat kesken".

Heti seuraavana päivänä Hesari tiesi kertoa vakoilun laajuudesta, yksityiskohdista ja Ruotsin osuudesta sen paljastamisessa. Salaiset tiedot tulivat julkisiksi ilman, että ministeriön täytyi virallisesti kertoa mitään.

Ehkä vuotaja olikin ministeriö itse? Ehkä Lumipesä on ministeriön palveluksessa ja toteuttaa uudenlaista vakoiluajan viestintästrategiaa: media saa jatkossakin tehdä likaisen työn ministeriön puolesta.

maanantai 11. marraskuuta 2013

Havaintoja iltauutisista

Mediat valittavat säästöpaineita. Nyt olisi hyvä hetki säästää ja olla lähettämättä omaa toimittajaa Filippiinien tuhoalueelle. Miksi jokaisen lehden/tv-kanavan pitäisi lähettää oma miehensä/naisensa paikan päälle pelastushenkilökunnan jalkoihin kertomaan samat sanat hävityksen kauhistuksesta? Pari kansainvälistä tv-kanavaa riittäisi, eivät ne ihmisten tragediat siitä muutu. Jokaisen kohtalo on omanlaisensa, mutta kuitenkin niin samanlainen.

Maikkarin uutisia katsoessa tuli mieleen, että 55 tuuman televisiolla ehkä vähän pienempikin fontti riittäisi. Nyt tiedän, mitä tarkoittavat "kissankokoiset kirjaimet" -- vaikka elikolla olisi häntäkin pystyssä.

"Kissankokoiset kirjaimet" Kymppiuutisten alussa.
Teksti-ikkunan korkeus on yli 25 senttiä. No, näkyypä ainakin sohvalle, vaikka silmälasit olisivat hukassa.

Illan uutisissa oli muutenkin dramaattisia aiheita:

HAGLUND, HUOLTOVARMUUS, PUOLUSTUS, VAKOILU
Hmm... puolustusministeri, huoltovarmuus, puolustus ja vakoilu samassa uutislähetyksessä. Otsikoista päätellen elämme mielenkiintoisia aikoja.

keskiviikko 6. marraskuuta 2013

Olisiko Lex Nokia pelastanut UM:n vakoilulta?

Kuka vielä muistaa neljä vuotta sitten käydyn kiistan Lex Nokiasta? Hesarin juttu siitä, miten Nokia ajoi kulisseissa Suomeen nettiliikenteen valvontaoikeuksia lisäävää lakia aiheutti kansanliikkeen valvontaoikeuksia vastaan.

Mitään todisteita Nokian painostuksesta ei koskaan löytynyt. Laista tuli niin raskas ja vaikeaselkoinen, ettei mikään yritys ole uskaltanut ottaa sitä käyttöön.

Lain keskeinen ajatus oli siinä, että yhteisötilaaja (yritys tai organisaatio) voisi automatisoida verkkoliikenteensä seurannan ja saada ilmoituksia poikkeavuuksista. Näin kerätty todistusaineisto olisi sitten luovutettu poliisille varsinaisen esitutkinnan pohjaksi.

Ironista kyllä, ulkoministeriön vakoilu on alkanut juuri samoihin aikoihin kuin laista riideltiin.

Suomen tiukka sähköisen viestinnän tietosuojalaki tekee vakoilun havaitsemisen vaikeaksi, sillä yhteisötilaaja ei saa laillisesti seurata verkkonsa liikennettä proaktiivisesti. Vain akuutit virhetilanteet saa selvittää, ja silloinkin se on tehtävä viestinnän luottamuksellisuutta loukkaamatta.

Jos olisin töissä NSA:n TAO-yksikössä, lähettäisin ministeriöön (tai Nokialle) kohdistetun haittaohjelman, joka keräisi kiinnostavaa dataa ja lähettäisi sen vaikka kerran päivässä sähköpostilla osoitteeseen spy@nsa.gov. Tällaista urkintaa ei Suomessa voisi havaita lakeja rikkomatta.

Onko Suomi ollut liian hyväuskoinen ja sinisilmäinen? Onko meistä tullut "moraalin suurvalta", kuten Marko Hamilo sattuvasti luonnehti Facebookissaan?

Jatkossa Ruotsin FRA-lain ja Lex Nokian pilkkaamiseen ei enää ole syytä. Suomen on pelattava samoilla säännöillä kuin muutkin valtiot.

tiistai 5. marraskuuta 2013

Verotilin insinööriturva turhaa käyttäjän kiusaamista

Verottaja avasi muutama vuosi sitten palvelun, jossa yritykset voivat hallita veroluonteisia maksujaan. Rekisteröidyin käyttäjäksi ja valitsin 8-merkkisen salasanan, aivan kuten pyydettiin.

Tänä vuonna tuli ilmoitus, että tietoturvan parantamiseksi salasanojen vaatimuksia kiristetään. Niissä pitää jatkossa olla isoja ja pieniä kirjaimia sekä numeroita. Kun en tehnyt muutosta ajoissa, en tänään enää päässyt hallinnoimaan yritykseni maksuja. Jouduin käyttämään aikaani päästäkseni salasanojen hallintaan ja luomaan uuden, vaatimukset täyttävän salasanan.

Episodi on hyvä esimerkki siitä, miten insinöörien käsitys tietoturvasta on kaukana arjen todellisuudesta. Ja IT-osastot ovat täynnä insinöörejä (kuten minäkin). Ei ihme, että meillä riittää turvaongelmia. Tietoturvassa teoria ja käytäntö ovat usein kaksi eri asiaa.

Se, onko kahdeksan merkin salasanassa pelkkiä pieniä kirjaimia vai myös isoja ja numeroita, ei faktisesti vaikuta turvallisuuteen mitenkään. Voi käydä jopa niin, että kiristetyt vaatimukset pakottavat kirjoittamaan salasanan paperille tai helpottavat sen unohtamista, jolloin kokonaisvaikutus tietoturvaan on negatiivinen.

Salasanaohje on jo itsessään hieman koominen:

Salasanaohje viraston malliin.

"Vältä salasanojen kirjoittamista ylös. Jos kuitenkin teet niin..." Heh.

Jos salasanan minimipituus on kahdeksan merkkiä, sen arvaamisen kannalta on täysin yhdentekevää onko isoja kirjaimia ja numeroita vai ei. Vähintään kahdeksan merkin salasanan arvaaminen on täysin mahdotonta. Kahdeksalla pienaakkosella on 377 801 998 336 vaihtoehtoa (siis ilman numeroita, erikoismerkkejä ja isoja kirjaimia). Mahdollisia lottorivejä on vain 15 380 937 kappaletta. On siis noin 24 532 kertaa todennäköisempää voittaa lotossa kuin arvata pelkistä pienistä kirjaimista koostuva kahdeksanmerkkinen salasana (ok, salasana ei ole satunnainen, vaan yleensä jokin oikea sana, mutta silti veikkaisin mieluummin lottoa kuin salasanaa).

Ainoa tilanne, missä numeroiden ja isojen kirjainten vaatimisella on merkitystä liittyy brute-force-hyökkäykseen. En kokeillut asiaa mutta oletan, että tili menee lukkoon jo alle kymmenen väärän arvauksen jälkeen. Jos yrityksiä vielä jatketaan, ennen pitkää poliisi kolkuttaa ovelle. Brute-force ei toimi online-palveluissa.

Brute-force voi tulla kyseeseen vain, mikäli hyökkääjä murtautuu itse palveluun ja varastaa sen suojatun käyttäjätietokannan. Tietokone pystyy kokeilemaan miljoonia vaihtoehtoja sekunnissa ja silloin kahdeksan merkin mittaiset helpot salasanat voidaan murtaa.

Mutta jos niin käy, vika ei ole käyttäjässä eikä huonossa salasanassa, vaan ylläpidossa. Miksi käyttäjien pitää ottaa vastuuta, joka kuuluu järjestelmän rakentajille?

Ja kaiken huipuksi salasanan murtamisella ei verotilin kannalta ole edes merkitystä, koska todentamisen jälkeen sinne pääsy vaatii vielä kertakäyttösalasanan.

Salasanavaatimusten kiristäminen on ainakin tässä tapauksessa pelkkää insinööritiedettä -- käyttäjien kiusaamista, joka ei paranna turvallisuutta.

perjantai 1. marraskuuta 2013

UM-urkinta herättää kysymyksiä

Ulkoministeriön paljastunut urkintatapaus herättää paljon kysymyksiä. Vastauksia on vähemmän. Ymmärrettävästi kaikkea ei haluta kertoa, mutta joistakin vastauksista paistaa joko tahallinen tai tahaton väärinymmärtäminen.

Hesarin mukaan ulkoministeriön verkko oli vuosia ulkopuolisen tahon hallussa. Tämä on äärimmäisen noloa maalle, joka on halunnut tehdä tietoturvasta uuden vientituotteen ja profiloitumiskeinon. Tähän asti pisin tiedossa ollut APT-hyökkäys on kestänyt 28 kuukautta. Jos tieto pitää paikkansa, Suomi on tehnyt uuden maailmanennätyksen.

IT-osaston vähättely siitä, miten suojaukset ovat kyllä kunnossa, mutta tällaista voi silti sattua, ja että se olisi paljastunut ilman ulkopuolisen (NSA?) antamaa vinkkiä ennen pitkää, ei kuulosta lainkaan vakuuttavalta. Vuosia jatkunut vakoilu UM:n verkossa EU-asioiden urkkimiseksi on megaluokan moka. Eikö UM tarkkaile verkkonsa liikennettä? Missä oli suomalainen tietoturvaosaaminen kun maahan hyökättiin?

UM:n mukaan samanlainen vakoiluhyökkäys on tehty muissakin maissa. Ilmeisesti kukaan niistä ei ole kuitenkaan kertonut asiasta. Odotamme kiinnostuneena uutisia muista maista, josko ne kertoisivat enemmän kuin omat viranomaiset. Supon salainen esitutkinta kestää tiedottajan mukaan vielä pitkään (ja on kestänyt jo puoli vuotta).

Katainen ei halunnut nimetä urkkijoita, koska heidän tunnistamisensa on epävarmaa. Silti hän kertoi Suomen ryhtyneen "vastatoimiin". Mitähän ne mahtavat olla, jos hyökkääjää ei tunneta? Väärän tiedon syöttämistä, kenties? Diplomaatin kutsumista puhutteluun? Jotain muuta?

Ulkoministeri Tuomiojan mukaan hyökkääjät eivät saaneet käsiinsä arkaluonteista aineistoa, koska "sitä ei edes ollut murretussa verkossa". Selitys kuulostaa epäuskottavalta. Montako verkkoa UM:ssä oikein on? Kuinka ne on eristetty toisistaan? Onnistuneessa APT-hyökkäyksessä pystytään siirtymään sisäverkossa tietokoneelta toiselle. Mitään turvallista verkkoa ei ole. Vain kirjoituskoneella paperille tulostettu aineisto on turvallista. Ehkä Tuomioja viittasi juuri siihen. Jos paperi tehdään tietokoneella ja tulostetaan, vakoilu voi napata tekstin.

Olisi kiinnostavaa tietää, miten Suomen ylintä johtoa ja kansanedustajia on evästetty tietoturvaan liittyvistä asioista. Ilmeisesti ei kovin hyvin. Mikähän urkinta paljastuu seuraavaksi?

Lisäys 17.9.2015: Ministeriön edustajan mukaan UM:ssä oli tuolloin kuusi verkkoa. Hyökkääjät olivat päässeet vain yhteen, joka ei sisältänyt arkaluonteisia tietoja.

torstai 31. lokakuuta 2013

Suomi verkkovakoilun kohteena

Maikkari totisesti yllätti kertomalla Suomen ulkoministeriön joutuneen pitkäaikaisen verkkovakoilun kohteeksi. Asialla ei ollutkaan NSA, vaan tiettävästi Venäjä ja Kiina.

Noloksi vakoilun tekee se, ettei Suomi itse huomannut mahdollisesti jopa neljä vuotta jatkunutta urkintaa. Ajatus Suomesta tietoturvan Sveitsinä sai pahan kolauksen. Mahtoiko asiasta kertonut ulkopuolinen taho olla NSA?

Uutinen muistuttaa meitä siitä, ettei kaiken kiusallisen julkisuuden viime aikoina saanut NSA suinkaan ole ainoa urkkija. Lisäksi se osoittaa, että vaikka Suomi ei itsessään ole kovin kiinnostava kohde, asema EU:ssa tuottaa meille tietoa, josta muut ovat kiinnostuneita. Ketju on niin vahva kuin sen heikoin lenkki. Suomi ei varmaankaan halua olla EU:n vakoilun heikoin lenkki, eihän? Siksi myös meillä on varauduttava nettivakoiluun ja sen torjuntaan ihan kuten tärkeämmissäkin maissa.

Koska tietoa urkinnasta on kovin vähän, on turha spekuloida tekijöitä tai käytettyjä tapoja sen pidemmälle. Niiden aika on sitten, kun tiedämme lisää. Esitutkintaa suorittaa nyt suojelupoliisi, joka on luvannut tiedottaa asiasta aikanaan tarkemmin. Toivottavasti jotain kerrottavaa löytyy, ettei käy kuten Jemenin kaappauksessa. Kun kaapatut vapautettiin toukokuussa, KRP sanoi ryhtyvänsä tutkimaan asiaa. Sen jälkeen Jemenistä tai kaapatuista ei ole kuulunut sanaakaan. Koko tapaus unohtui saman tien.

Jotain voidaan päätellä epäseuorasti. Suomen kyky havaita nettivakoilua on riittämätön. Sen vuoksi on mahdollista, että muitakin tapauksia on ollut, mutta ne ovat joko jääneet havaitsematta tai ainakaan niistä ei ole kerrottu. Ei kerrottu tästäkään, mutta Maikkarin toimitus sai sen jotenkin selville. Tieto vuoti sisäpiiristä, jonka piti olla "erittäin pieni". Niinpä.

Tuomioja oli tiedotustilaisuudessa odotetun lyhytsanainen.
Lyhyessä tiedotustilaisuudessa ulkoministeri Tuomioja kertoi lähinnä sen, ettei voi kertoa mitään. Toimittajan kysymykselle Hotmail-käytöstä hän naurahti. Sen kautta hoidetaan vain henkilökohtaisia asioita, joita NSA saa vapaasti urkkia.

En ole samaa mieltä. Kun Tuomioja oli edellisen kerran ulkoministerinä, hänen Hotmail-osoitteensa esiintyi lehdistötiedotteiden lopussa. Vaikka ministeri ei itse olisi lähettänyt työasioita Hotmailista ulos, joku saattoi lähettää niitä hänelle sisään.

Lisäksi Hotmailin kautta on saatettu ujuttaa Red October tai vastaava haittaohjelma hänen koneelleen. Todennäköisesti Hotmailin haittaohjelmasuojaus on heikompi kuin ministeriön virallisen sähköpostin (toivottavasti ainakin). Ehkä pääsyn verkkoon avannut haitake on päässyt sisään jonkun tärkeän virkamiehen koneelta?

Se, että koneessa on eri sähköpostit työasioita ja henkilökohtaisia asioita varten, ei riitä. Koneiden pitäisi olla täysin erillisiä.

Odotamme kiinnostuneena, mitä Supo saa selville, ja mitä siitä kerrotaan julkisuuteen.

PS. Onneksi salaisimmat asiakirjat Suomen ja EU:n välillä on jo jonkin aikaa siirretty paperimuodossa. Niitä on paljon vaikeampi urkkia, ainakaan verkon kautta.

keskiviikko 30. lokakuuta 2013

Suomen oudoin huutokauppa oli rumuuskilpailu

Miltä kuulostaa seuraavanlainen huutokauppa: myynnissä on ilmaa, josta tarjouksia tekevät tuntemattomat ostajat. Kahdeksan kuukauden jälkeen prosessi keskeytetään, koska huutokauppa on jäänyt ikuiseen silmukkaan. Pidetään kuukauden tauko, sääntöjä aiotaan muuttaa mutta ei muutetakaan -- ja viikon "huutokaupan" jälkeen julistetaan tulos: ilmeisesti kaikki osallistujat saivat sen, mitä halusivat, ja vieläpä lähes lähtöhinnalla. Kerrassaan erikoista!

Kyse on suomalaisesta taajuushuutokaupasta. Se alkoi 24.1.2013 ja keskeytettiin 19.9.2013 "pakottavista teknisistä syistä" johtuen. Huutokauppa alkoi uudestaan 24.10. ja tänään 30.10.2013 kerrottiin "huutokaupan" päättymisestä. Kaikki saivat kaksi taajuusparia. DNA maksoi omistaan 16,9 ja 16,67 miljoonaa, Elisa 16,7 ja 16,7 miljoonaa sekä TeliaSonera 22,2 ja 18,9 miljoonaa. Valtio odotti saavansa 800 megahertsin taajuuksista 130-230 miljoonaa, mutta joutui tyytymään 108,01 miljoonaan.

Huutokaupan lähtöhinta oli 16,7 miljoonaa, joten huudoista huolimatta kolme taajuusparia myytiin käytännössä lähtöhinnalla ja loput vain vähän sitä kalliimmalla.

En löytänyt mistään tietoa siitä, oliko huutajia tosiaan vain kolme. Ilmeisesti osallistujien määrä oli tarkoituksella salainen. Jos "huutajia" oli vain kolme, jokainen sai kaksi taajuusparia ja maksoi niistä lähes saman hinnan. Voiko tällaista kutsua edes huutokaupaksi?

Moni muistaa vielä elokuun 2000, jolloin Sonera osallistui Saksan 3G-huutokauppaan ja epäonnekseen voitti sen noin 4,5 miljardin euron tarjouksella. Lasku tästä hullutuksesta lankesi lopulta suomalaisille veronmaksajille.

Suomi jakoi omat 3G-taajuutensa keväällä 1998 ensimmäisenä maailmassa, jo ennen kuin edes tekninen 3G-standardi oli valmis. Menetelmänä oli tuolloin ns. kauneuskilpailu. Ministeriö päätti itse, kenelle luvat myönnetään ja millä hinnalla. Nyt lopputulos oli käytännössä sama, aikaa vain tuhlaantui lähes vuosi.

Pitäisikö tätä huutokauppaa nyt kutsua rumuuskilpailuksi? Kaikkien resursseja säästyisi, jos taajuudet ensi kerralla jaettaisiin sosiaalidemokraattisesti tasan ja myytäisiin kiinteällä hinnalla.

maanantai 28. lokakuuta 2013

Kuningaskauppias - kuka suojaisi kauppiasta huijaavilta asiakkailta?

YLEn Kuningaskuluttaja puolustaa pientä kuluttajaa markkinatalouden pimeitä voimia vastaan. Asiakas saa olla alituiseen varovaisena, ettei tule kusetetuksi vaikkapa 8,5 gramman painoisten karkkipussien vuoksi.

Kuluttaja on puolustajansa ansainnut ja oikeita epäkohtia löytyy viljalti.

Mutta kuluttajan asema on muuttunut siitä, mitä se oli kun ohjelma vuosia sitten alkoi. Netin keskustelupalstojen, verkkokauppojen ja sosiaalisen median ansiosta kuluttajalla on yhä enemmän valtaa. Joskus tulee mieleen, että joku tv-kanava voisi tehdä Kuningaskauppias-ohjelman puolustamaan kauppiaiden etuja. Olisiko se paremmin Maikkarin tai Nelosen heiniä?

Lähtökohta, jonka mukaan paha kauppias sortaa aina pientä asiakasta, kääntyy helposti ympäri. Varsinkin netissä pienikin asiakas pystyy sortamaan suurta kauppiasta.

Moni asiakas käy tutustumassa digikameroihin myymälässä ja sovittamassa merkkivaatteita kaupassa, mutta tilaa sitten samat halvemmalla verkkokaupasta. Mikään laki ei kiellä tällaista toimintaa, mutta jos osat olisivat päinvastoin, Kuningaskuluttaja puuttuisi asiaan. Kauppiasta saa vedättää, asiakasta ei.

Yleensä kauppiaat joustavat lain pykälistä asiakkaan eduksi. Esimerkiksi palautus- ja vaihto-oikeus on kauppiaan hyväntahtoisuuden varassa. Lakisääteistä velvollisuutta siihen ei ole. Vaihto-oikeus ei ole yksiselitteinen edes silloin, kun tuotteessa on jotain vikaa. Myyjän on vain korjattava tuote tai alennettava hintaa virheen tuoman haitan verran. Se, että osti vahingossa väärän tuotteen tai sai jouluna kaksi samaa kirjaa, ei ole lain tuntema vaihtoperuste.

Joillakin kodinkoneliikkeillä on erittäin joustava tuotteiden palautusoikeus. Urheilun ystävät hakevat ennen kisoja parhaan taulutelevision ja palauttavat sen kisojen jälkeen. Erityisen joustavia ollaan Gigantissa. Eräs nettituttu kokeili erilaisia läppäreitä ja tableteja. Vasta kahdeksannen vaihdon jälkeen Gigantti sanoi, että "rajaton vaihto-oikeus" loppuu nyt tähän. iPad jäi hänelle.

Kauppa joutuu myymään asiakkaan "kokeilemat" laitteet alennuksella seuraavalle ostajalle, mikä tulee sille kalliiksi. Kahdeksan vaihdon myötä Gigantti hävisi luultavasti koko viimeisen laitteen 800 euron myyntihinnan, ei pelkkää katetta.

Gigantissa on (lähes) vapaa vaihto-oikeus.
Jenkkikaupoissa palautusoikeus on laaja ja vaatteissa se voi olla jopa kahden kuukauden mittainen. Salaisuus on siinä, että palautetut tuotteet paketoidaan ja myydään tyynesti uusina. Jos asiakas valittaa, hänen tuotteensa vaihdetaan kyselemättä uuteen. Koskaan ei voi tietää, saako kaupasta ensimmäisellä kerralla uuden vai jo jonkin aikaa käytetyn tuotteen. Siksi en itse osta mitään arvokasta USA:sta.

Vain verkkokaupassa on aina 14 vuorokauden palautusoikeus. Silloinkin palautettavan tuotteen pitäisi olla käyttämätön. Moni asiakas käyttää tätä härskisti hyväkseen ja palauttaa tuotteen kahden viikon jälkeen kyllästyttyään siihen. Yleensä kauppias joustaa, koska on helpompi kärsiä tappio kuin alkaa riidellä kuluttajan kanssa -- ja ottaa riski Kuningaskuluttajasta.

Mihin muihin vedätyksiin Kuningaskauppiaan pitäisi puuttua? Tai voisiko Kuningaskuluttaja joskus tarkastella asioita myös toisesta näkökulmasta?

keskiviikko 23. lokakuuta 2013

Älä osta 55 tuuman televisiota

Älä ainakaan, jos aiot katsoa nykyisiä tv-kanavia.

Vaihdoin vanhan 42-tuumaisen Panasonicin plasmatelevision uuteen 55-tuumaiseen LG:n 55LA667V-malliin. Siinä on uutta tekniikkaa, kuten WiDi-tuki, Miracast, Hbb, 3D ja erilaisia älyominaisuuksia.

Mutta on pakko todeta, että vaikka seitsemän vuotta vanha Panasonic oli vain "HD ready" eikä edes aito teräväpiirtomalli, siinä oli parempi kuva kuin uudessa LED-televisiossa. Syy on yksinkertainen: lcd toistaa mustan harmaana, mikä vähentää kuvan kontrastia. Valitettavasti enemmän sähköä kuluttavat plasmat ovat lähes hävinneet markkinoilta ja todellinen parannus kuvanlaatuun saadaan vasta OLED-televisioiden myötä. Ne maksavat vielä useita tuhansia euroja. Toivottavasti hinnat putoavat joskus järkevälle tasolle.

Vaatimatonta kontrastia yritetään nykyisissä LED-malleissa parantaa automatiikalla, joka vähentää taustavaloa kuvan ollessa tumma sekä dynaamisilla väriasetuksilla, mutta niistä on lopulta enemmän haittaa kuin hyötyä. Kikkailut toimivat joissakin kohdissa, mutta pilaavat kuvan toisissa kohdissa entistä pahemmaksi.

Varsinainen syy olla ostamatta näin isoa televisiota on Suomen tv-järjestelmässä. Tavallisen tarkkuuden suttupiirto näyttää isolla pinnalla todella pahalta. Niin pahalta, ettei sitä mielellään edes katsele.

Suttupiirron kuvanlaatu vaihtelee suuresti. YLEn studiossa kuvattu tv-lähetys on melkein katsottavaa, mutta jenkeistä ostetut sarjat saattavat olla kelvottoman heikkoja. Kaiken huipuksi vanhoja 4:3-ohjelmia on ilmeisesti levitetty keinotekoisesti reunoista täyttämään 16:9-kuva, jolloin niissä on vielä muotovirhettäkin. Myös YLEn omissa ohjelmissa saattaa olla erilaisen tarkkuuden sisältöä samassa ohjelmassa. Eräästä YLEn ohjelmaa oli kuvitettu ilmeisesti kännykkäkameralla otetuilla still-kuvilla.

Iso pinta ei anna mitään anteeksi. Ironista kyllä, ison television hankkimisen jälkeen tekee entistä vähemmän mieli katsoa televisiota.

Teräväpiirto on toinen juttu. YLEn Uusi päivä ja Maikkarin Salkkarit ovat hyvälaatuisia ja niitä katselee mielellään. Niissä kontrastiongelmakaan ei näytä pahalta.

Valitettavasti Suomen teräväpiirtolähetysten tila on luvattoman heikko, etenkin antennipuolella. YLEn oma HD-kanava näyttää yleensä TV2:n ohjelmia, joista osa on teräväpiirtoa.

Maikkarin MTV3HD-kanava olikin oma seikkailunsa. Maikkarin oma sivu ei kerro, miten kanavan saa antennikodissa näkyviin. Tekstistä voi jopa päätellä, ettei mitenkään: Kanavan jakelu ja ilmaiskatselu päättyy Digitan lähetysverkossa 31.8.2012. Sen jälkeisestä ajasta sivu ei kerro mitään.

Selvittelin pitkään, miten kanavan sää näkymään. DNA Welhon sivulta löytyy antenniverkon kanavapaketteja, mutta ei mitään tietoa MTV3HD-kanavasta. Muutamalla puhelulla sain selville, että kanavan voi ostaa, jos nyt joku ehdottomasti haluaa. Hinta on 2,90 euroa kuukaudessa ja sitä varten tarvittavan kortin saa ostaa DNA:n myymälästä tai Gigantista.

Menin siis tiskille. Ensimmäisenä piti näyttää henkilöllisyystodistus. Jotta pystyn katsomaan MTV3:n kanavaa antennista, joudun todistamaan henkilöllisyyteni. Sitten piti ostaa 50 euron CI+ moduli, johon kortti laitetaan. Moduli piti käydä vielä rekisteröimässä uudelleen DNA:n asiakaspalvelussa.

Onnistuihan se lopulta: MTV3 HD -kanavan antennikatseluun tarvittava kortti.
Korttilinkitys ei ole DNA:n eikä Maikkarin vika, mutta herättää ihmetystä, miten vaikeaksi tv-kanavan katsominen on tehty. YLE ei vaadi linkitystä eikä korttia. Verorahoille saa jotain vastinetta.

HD-lähetyksistä on tietoa HDTVOpas-sivulla http://www.hdtvopas.fi/. Se listaa kolme HD-kanavaa: YLE, MTV3 ja Nelonen. Edes jälkimmäisen linkki ei toimi.

Antennikatsojan kannalta tilanne on lohduton: tarjolla on kaksi osittain teräväpiirtokuvaa lähettävää kanavaa. Nekin toimivat VHF-alueella, mikä saattaa vaatia uuden antennin tai vanhan suuntaamisen DNA:n mastoon.

Suomi halusi olla digi-tv:n edelläkävijä 15 vuotta sitten ja on nyt joutunut ojasta allikkoon. Olemme peränpitäjiä teräväpiirtomaailmassa.

Kaapelitalouksissa tilanne on parempi. Itselläni on myös Elisaviihteen IPTV, jossa samat kotimaiset hd-kanavat näkyvät helpommin. Valitettavasti Elisan käyttämä set-top boxi ei ole mikään käytettävyyden riemuvoitto ja erillisen digiboksin käyttö uudessa televisiossa tuntuu kömpelöltä.

Television tulevaisuus on netissä. Tämän piti olla tiedossa jo 15 vuotta sitten. Antennijakeluun tai HD-kanaviin ei viitsitä enää edes panostaa. HD-sisältö on parasta hankkia kaapelikanavalta tai Blu-ray-levyltä -- tai laittomasti piraattiverkosta.

YLEllä HD-valo kuitenkin kajastaa. Tiedotteen mukaan kaikkien kanavien pitäisi olla saatavissa teräväpiirtona ensi vuoden alusta. Maltan tuskin odottaa. Vuoden 2015 alusta kaiken YLEn tuotannon pitäisi olla hd-ajassa.

Tämä on hyvä muistutus myös siitä, miten usein kansalliset teknologiahankkeet menevät metsään. Vain markkinaehtoinen kehitys on pitkän päälle kestävää. Jos ei linkki ollut selvä niin kirjoitetaan se vielä erikseen: tiemaksu.

maanantai 21. lokakuuta 2013

Candy Kingin paperipussigate insinöörin silmin

Palaan vielä Candy Kingin karkkipussiin. Periaatteessa 0,10 euron maksu paperipussista on väärin, koska kilohinnalla myytävissä tuotteissa pakkauksen vaikutus pitäisi eliminoida.

Erikseen punnittuna paperipussille tulee hinnaksi 0,09 euroa.
Karkkipussigate herätti kuitenkin uteliaisuuden. Insinöörin näkökulmasta jotain on tosiaan vialla: tekemieni mittausten mukaan yksi Candy King paperipussi painaa nimittäin 8,5 grammaa. Vaa'assa on ainakin alkupäässä 1,5 gramman mittausvirhe.

10 pussin mittaus osoittaa yhden painoksi vain 8,5 grammaa. Kotivaaka vahvisti asian.
Kun makeisten kilohinta on 8,90 eur/kg, yhden pussin täsmällinen hinta on 0,076 euroa. Jos nyt tarkoiksi ryhdytään, niin tässä on peräti 24 prosentin ero Kuningaskuluttajan mainitsemaan 0,10 euroon.

Todennäköisesti Candy Kingin vaaka ei ole koko asteikolla aivan gramman päälle tarkka. Koska Suomessa lopullinen hinta pyöristetään 0,05 euron tarkkuuteen (toisin kuin vaikkapa Saksassa, jossa käytetään myös yhden sentin kolikkoja), karkkien punnitus toimii käytännössä vain 5,62 gramman tarkkuudella. Todennäköisesti paperipussin hinta ainakin joissakin tapauksissa mahtuu virhemarginaalin sisään ja muissakin se pyöristyy lähimpään viisisenttiseen.

Irtokarkkien ostajan ei kannata odottaa insinöörin tarkkuudella toimivaa laskutusta nameistaan. Maailma ei ole täydellinen. Elämä on kaikille helpompaa, jos molemmin puolin hieman joustetaan. Kassa on joskus antanut muovikassin ilmaiseksi, kun olen muistanut sen vasta kuitin tulostamisen jälkeen. Kauppa on myös joskus vaihtanut tuotteen toiseen, vaikka lakisääteistä velvollisuutta ei olisikaan. Ja niin edelleen.

PS. IKEA näyttää joustaneen lihapulla-asiassa, vaikka ei olisi pakko. Jos tarkkoja ollaan, lastenannos on lasten annos ja aikuisille myydään aikuisten annos. Mikään ei tietenkään pakota syömään kaikkea -- eikä edes tilaamaan juuri niitä lihapullia. Oletan, että IKEAsta saa muutakin ruokaa pienempään nälkään.

sunnuntai 20. lokakuuta 2013

Valitusyhteiskunta

Media tarvitsee nopeita ja helppoja otsikkoaiheita. Kansalaisten valitukset kelpaavat tarkoitukseen hyvin. Aina on niitä, jotka kokevat oikeuksiaan loukatun.

YLEn Kuningaskuluttaja teki viime viikolla tv-ohjelmaansa jutun irtokarkeista, joiden pussi maksaa 0,10 euroa.

Kuningaskuluttaja pienen (todella) kuluttajan asialla. 
Turvallisuus- ja kemikaaliviraston (!) ylitarkastaja Sari Hemminki kertoi televisiossa, että painon mukaan myytävien tuotteiden hinnasta pitäisi vähentää paperipussin osuus.

Valitus 0,10 euron pussista tuntuu melko mitättömältä. Kysymys on tietenkin periaatteellinen ja liittyy kuluttajan oikeuksiin. Kuka niitä valvoo jos ei kuluttaja itse? Toisaalta voi kysyä, pitääkö tällaisestakin asiasta valittaa -- jos 10 sentin maksu hirvittää, voi tuoda mukana oman paperipussin tai käyttää hedelmäosaston läpinäkyvää ilmaispussia.

Onko 0,10 euron pussi todellinen epäkohta vai kertooko se siitä, että asiat ovat Suomessa lopulta erittäin hyvin? Onko meistä tullut turhia valittajia?

Jatkuvassa valittamisessa on kaksi ongelmaa. Ensinnäkin pienet asiat hämärtävät suhteellisuudentajua. Kymmenen sentin pussi on mitätön kustannus verrattuna kaupassa käynnin kustannuksiin, hammaslääkäriin tai vaikkapa bonus-kortteihin, joilla asiakkaat saadaan maksaman satoja euroja vuodessa ylihintaa, jonka he sitten kokevat saavansa "bonuksina".

Valittajia on ollut aina, mutta nyt he saavat äänensä kuuluviin median olemattoman "uutis"kynnyksen ja sosiaalisen median kautta. Jatkuva valitus lietsoo tyytymättömyyttä ja negatiivisuutta meihin kaikkiin.

Sitä paitsi luulen, että osa korvaa pussin hinnan laittamalla mukaan pari ylimääräistä karkkia punnituksen jälkeen. Ei siitäkään poliisille soiteta. Pieni joustavuus on tarpeen puolin ja toisin.

Muita legendaarisia valituksen aiheita: miksei aikuinen saa ostaa lastenannosta, vaikka hänellä on lääkärintodistus ja miksi helvetissä Dumle-pussin makeisissa on yhtä lajia liian vähän?

PS. Tässä vielä insinöörin näkökulma karkkipussin painoon

lauantai 19. lokakuuta 2013

Ollilan kirja ja wanhan hyvän ajan Nokia

Jorma Ollilan odotetut muistelmat "Mahdoton menestys" julkaistiin 17.10.2013. Moni on ollut hivenen pettynyt siitä, miten vähän kirja käsittelee tuoreita, eniten kohua herättäneitä tapahtumia. Ollilan nuoruusvuosille on annettu paljon tilaa, jolloin tekijät ovat joutuneet supistamaan loppupään tapahtumia saadakseen kirjan edes joskus valmiiksi ja pitääkseen sivumäärän järjellisenä (nyt 480 sivua). 

Steve Jobsin elämäkerrassa oli sama ongelma. iPhone- ja iPad-tapahtumat kuitattiin muutamalla sivulla, vaikka ne muovasivat Applesta yhtiön sellaisena kuin moni sen tuntee. Ero on siinä, että Jobsin nuoruus oli paljon kiinnostavampi kuin Ollilan nuoruus. Yleensäkin nuoruusvuosien muisteleminen on kiinnostavampaa tekijän itsensä kuin lukijoiden kannalta. 

Jorma Ollila (julkistustilaisuudessa otettuja kuvia).
Kirja on Ollilan, ei Nokian muistelmat. Nuoret tuntevat Nokian ainoastaan matkapuhelinten valmistajana. Dramaattiset tapahtumat 1980- ja 1990-lukujen vaihteesta ovat monelta unohtuneet. Televisioiden valmistus lähes kaatoi koko yhtiön.

Kirja käsittelee näitä tapahtumia. Ne ovat epäilemättä Ollilalle rakkaita, koska hänet nimitettiin silloin toimitusjohtajaksi ja oli pitkälti hänen visionsa ansiota, että Nokia päätti keskittyä tuolloin vielä hyvin epävarmaan mobiilitekniikkaan. Tai näin ainakin kirja sen selittää. Kokemuksesta tiedän, että ellei itse tee tarkkoja muistiinpanoja, aika kultaa muistot ja kaikki fiksut päätökset tuntuvat olevan omaa ansiota.


Ollilan esiintymistä lehdistötilaisuudessa oli ilo seurata. Tuli aivan mieleen se wanhan hyvän ajan Nokia, joka hallitsi uutisointia vielä 10-15 vuotta sitten. Ollila vastasi asiallisesti ja kohteliaasti kaikkiin kysymyksiin. Vastauksista paistoi suomalainen rehtiys ja rehellisyys, aivan kuten hänen omasta nuoruudestaan partiolaisena. Nokiassa tehtiin nousun vuosina hyviä asioita ja ne tehtiin oikein. Niiden päätösten takana on hyvä seistä.


Ollila kuvasi jälleen kerran, miten ratkaiseva päätös Microsoft-yhteistyöstä syntyi. Nokia oli tajunnut, ettei Symbian kanna enää kovin pitkälle, joten se oli jäämässä perusmalleihin. Yläsegmenttiin piti tulla uusi Meego. Vuoden 2011 alussa kävi kuitenkin ilmi, ettei Meego ollut läheskään valmis. Tulossa oli vain yksi puhelinmalli, sen jälkeen ei mitään. Oli pakko valita joko Android tai Microsoft. Jälkimmäinen tarjosi suuremman mahdollisuuden kilpailijoista erottautumiseen, joten hallitus päätti valita sen.

Microsoftin valintaa edelsi "syvällinen valmistelu", jossa oli mukana koko johto. Hallitus "seurasi asiaa tiiviisti" ja "paneutui tosissaan asiaan". Elop ei valinnut Microsoftia, hallitus valitsi.

Mutta kuka päästi asiat näin pitkälle? Miten oli mahdollista, että tuotekehityksen 1800 hengen porukka ei saanut Meego-puhelimia ajoissa valmiiksi ja ettei tieto näistä ongelmista kulkenut ajoissa johdolle? Tähän Ollila ei vastannut.

Hieman oudolta tuntui myös Ollilan väite siitä, ettei Suomessa ollut tarvittavaa käyttöjärjestelmäosaamista. Kaikki alan osaaminen oli hänen mukaansa USA:n länsirannikolla. Siksi Samsung ei edes yrittänyt mitään omaa, vaan valitsi Androidin. Ei käyttöjärjestelmä mitään rakettitiedettä ole. Kohta on Jollan vuoro näyttää, pystytäänkö Suomessa tekemään mobiilikäyttöjärjestelmää. Uskon, että pystytään.

Ohjelmointiosaaminen ei riitä korvaamaan ekosysteemiä. Se on todellakin länsirannikolla. Kun älypuhelimet eivät enää olleet pelkkiä laitteita vaan osa yleistä tietojärjestelmää ja nettipalveluita, kehityksen painopiste siirtyi USA:n länsirannikolle. Siinä pelissä suomalainen Nokia oli heikoilla. Toivottavasti Jolla onnistuu paremmin.

Mahdoton menestys ja Jorma Ollila.
Ollila kritisoi suomalaisia pessimismistä. Siinä on varmasti perää. Kun Nokiaa on lyöty, ilkkujia ei ole puuttunut. Aivan kuin saisimme tyydytystä toisten epäonnistumisesta.

Ollila itse kieltäytyi märehtimästä vanhoja virheitä ja sanoi katsovansa aina mieluummin eteenpäin. Se on oikea asenne ja ainoa, jolla yritysjohtaja voi selvitä.

On tietysti helppoa olla optimisti, kun takana on maailmanluokan ura ja tilillä kymmeniä miljoonia. Nokiassa sijoituksensa tai työpaikkansa menettäneet eivät ymmärrettävästi ole yhtä optimistisia.

sunnuntai 22. syyskuuta 2013

Etsikää troijalaista Nokian hallituksesta

Kohu Nokian ympärillä ei laannu. Yhä vieläkin on niitä, jotka pitävät Elopia troijalaisena, jonka tehtävänä oli vain pudottaa Nokian arvoa ja myydä se edullisesti Microsoftille. Tuorein todiste on se, että Microsoft maksaa yli puolet Elopin ns. kannustinpalkkiosta kun tämä palaa takaisin entisen työnantajansa palvelukseen. Nyt jo työministeri Lauri Ihalainenkin on kallistumassa trojalaisteorian puolelle.

Troijalaisteoria on turhan helppo selitys Nokian kohtalolle. Olisi mukava uskoa, että joku ulkomaalainen tuli pahat mielessä ja vei kansallisomaisuuden pahalle amerikkalaiselle yritykselle. Totuus on tietenkin jotain ihan muuta.

Jos uskoo troijalaiseen (itse en usko), sitä pitää etsiä Nokian vuoden 2010 hallituksesta ja sen puheenjohtajasta. Kallasvuo sai potkut ja Nokia löysi uuden johtajan Microsoftilta. Elop nimitettiin tehtäväänsä 10.9.2010, jolloin Nokian kurssi liikkui kahdeksan euron tietämillä.

Virallisen selityksen mukaan vasta tämän jälkeen alettiin pohtia tulevaisuuden strategiaa. Uskon, että tämä on puppua, ja että päätös Microsoft-kumppanuudesta oli tehty jo aiemmin. Ei kai kukaan odottanut, että Microsoftilta tuleva johtaja valitsisi Androidin? Jos Nokia olisi palkannut johtajan Googlelta, olisiko tämä mitenkään voinut valita muuta kuin Androidin?

Ei, alustan valinta oli selvä jo ennen valintaa, ja Elop lähti toteuttamaan sitä. Jälkiviisaina voimme sanoa valintaa vääräksi, mutta ei Nokian Lumia-bisnes huonosti mennyt. Alusta kehittyi (joskin turhan hitaasti) ja uusimmat Lumia-mallit olivat jo erinomaisia. Aika ja rahat vain loppuivat kesken. Jäi näkemättä, miten strategia olisi lopulta toiminut. iPhone ja Android eivät takuulla ole mobiilikehityksen viimeinen sana.

Nokian ja markkinoiden näkökulmasta Elop epäonnistui. Silti hänelle maksettiin miljoonia työsopimuksen allekirjoittamisesta, sen lopettamisesta, peruspalkkaa 1,2 miljoonaa vuodessa ja lisäksi vielä 14,6 miljoonaa euroa osakekannustimia.

Siilasmaa on kommentoinut asiaa vain sanomalla, että eduista päätettiin vuonna 2010 Elopin aloittaessa. Hallitus on silloin hyväksynyt työsopimuksen ja edut. Miten on mahdollista, että kurssin romahtaminen kahdeksasta eurosta neljään palkitaan miljoonilla euroilla? Kuka troijalainen hallituksessa on mennyt vuonna 2010 hyväksymään tällaiset lahjat?

Kuka?

Media saisi kovistella hallitusta Elopin sijaan. Jos kommentteja ei heru, herää kysymys miksi niitä ei heru. Kuka hallituksessa ajoi Elopin valintaa ja millä perusteilla?

Joidenkin mielestä Nokia on yksityinen yhtiö ja saa jakaa miljoonia kenelle huvittaa, se on vain osakkeenomistajien asia.

Johdon miljoonapalkkiot eivät kuitenkaan ole yhtiön sisäinen vaan koko yhteiskunnan asia. Rahan avokätinen jakaminen yksille muiden kiristäessä vyötään vaikuttaa meihin kaikkiin. Miksi palkansaajien pitäisi tyytyä pieniin korotuksiin jos työssään epäonnistuvien johtajien oma linja on tällainen? Ahneus palkitaan, ollaan siis kaikki samalla tavalla ahneita.

Mikään yritys ei toimi irrallaan yhteiskunnasta. Miksi Elop on saanut nauttia 35 % veroasteesta, kun tavallinen palkansaaja joutuu maksamaan enemmän? Minkälaisia "osaajia" ulkomailta Suomeen oikein houkutellaan?

Jos yhteiskunta ei saa arvostella yritysten asioita, yritykset vaietkoon yhteiskunnan asioista. Vuonna 2001 Ollila valitti useaan kertaan kireää verotusta ja antoi Suomelle viisi vuotta aikaa keventää verotusta, ennen kuin Nokia harkitsee pääkonttorin siirtämistä muualle.

Se, mitä tapahtui, ei johtunut verotuksesta vaan johdon omista virheistä.

Ja ehkä siitä hallituksen sisällä olleesta troijalaisesta.

lauantai 14. syyskuuta 2013

Tietomurron miljoonat uhrit

Suomalainen kaveri on murtautunut ilmeisesti noin 300 sivustoon ja varastanut niistä käyttäjätietoja: nimiä, käyttäjätunnuksia ja salasanojen tiivisteitä, mahdollisesti myös henkilötunnuksia ja luottokorttinumeroita. Iltapäivälehti laski uhreja olevan satoja tuhansia, Ylen tv-uutisissa puhuttiin jo miljoonista, koska osa murretuista palveluista oli ulkomailla.

Tietomurto on rikos, eikä sitä ole syytä vähätellä. Tässä tapauksessa median uutisointi näyttää kuitenkin liioittelevalta.

Tiettävästi murtautuja ei jakanut käyttäjätietoja eteenpäin eikä hyödyntänyt niitä itse. Tältä osin kyse näyttää olleen wanhanaikaisesta old-school hakkeroinnista, jota tehtiin 1990-luvulla jonkinlaisena älyllisenä haasteena ja ilman rikollista motiivia. Vanhat alustat sisältävät haavoittuvuuksia, joita hyökkääjän on helppo kokeilla ja hyödyntää, vaikka ei haluaisikaan tehdä varsinaista vahinkoa.

Tällaisessa hakkeroinnissa uhrina on lähinnä palvelu ja sen ylläpito, eivät niinkään rekisteröityneet käyttäjät. Uhria ei pidä syyllistää, mutta jos alustat ovat päivittämättä (tai salasanat tallennetaan selväkielisinä!) voi sanoa ylläpidon toimineen ainakin luvattoman huolimattomasti ja siten edesauttaneen rikollista tekoa.

Huolimatonta ylläpitoa voisi syyttää henkilötietolain nojalla, sillä se velvoittaa huolehtimaan henkilörekisterin tietoturvasta. Sen sijaan on kyseenalaista, voiko palveluun rekisteröitynyt käyttäjä nostaa syytteen hakkeria vastaan. Jos käyttäjä ei voi nostaa syytettä, voiko hän silloin olla uhrikaan? Onko yksittäinen käyttäjä hakkerin vai huolimattoman ylläpidon uhri? Onko laissa tässä suhteessa aukko?

Koituuko palveluun rekisteröityneelle käyttäjälle vahinkoa siitä, että joku hakkeroi palvelun ja kopioi käyttäjätiedot itselleen -- hyödyntämättä tai jakamatta niitä eteenpäin? Ainoa seuraus lienee se, että saatuaan tiedon asiasta käyttäjän pitää vaihtaa salasanansa. Tilanne on tietenkin toinen, jos hakkeri jakaa tietoja eteenpäin tai käyttää niitä omaksi hyödykseen.

Viestintäviraston tietoturvayksikkö tiedotti asiasta niukasti. Se kertoi, että palveluihin on murtauduttu ja neuvoi käyttäjiä vaihtamaan salasanansa. Kun ei kerrottu, mitkä palvelut oli murrettu, käyttäjien piti siis vaihtaa kaikki salasanansa. Niitä voi olla yli sata. Ihan kaikkia ei tarvinnut vaihtaa, sillä tiedotteessa kerrottiin, mitä palveluita ei ole murrettu: pankit ja luottokorttiyhtiö Nets. Tämä on uudenlaista, käänteistä tiedottamista.

Kymmenien salasanojen vaihtosavottaan ryhtyminen vain siksi, että joku oli murtautunut jollekin keskustelupalstalle ja kopioinut käyttäjätietokannan itselleen, ei ollut mitenkään perusteltua.

Kriisiviestintä on vaikeaa -- varsinkin kun tilanne syntyy perjantaina työajan jo päättyessä ja poliisitutkinta asiasta on yhä kesken. Tänään lauantaina CERT onkin vedonnut siihen, ettei se halunnut paljastaa haavoittuvien palvelujen nimiä ennen kuin järjestelmät on korjattu.

keskiviikko 11. syyskuuta 2013

Haluaako NSA sormenjälkesi?

Tätä se luottamuksen menetys sitten teettää: kukaan ei enää luota amerikkalaisiin palveluihin. Heti, kun Apple oli saanut esiteltyä iPhone 5S:n sormenjälkitunnistuksen netissä alkoi kauhistelu siitä, miten NSA saa nyt myös meidän sormenjälkemme.

Todennuksen tekninen toteutustapa ei vielä ole tiedossa, mutta todennäköisesti kyse on vain järjestelystä, joka vapauttaa PIN-koodin (ja ilmeisesti myös AppleID:n salasanan) sormenjäljen perusteella. Tätä varten sormenjäljestä laskettu tiiviste tallennetaan paikallisesti puhelimeen.

Sormenjälki on vain apuväline, jonka ansiosta näitä kahta koodia ei tarvitse kirjoittaa. Pelkkään sormenjälkitunnistukseen ei voi luottaa, sillä käsihän voi olla olla vaikka paketissa tai sormi laastaroituna.

Ei ole uskottavaa, että Apple lähettäisi sormenjäljen omaan pilveensä. Toki laitteessa voi olla takaportti, josta edes Applen insinöörit eivät ole tietoisia, mutta paras turva sormenjäljille on se, ettei NSA tarvitse niitä mihinkään.

Sormenjäljet liittyvät reaaliseen maailmaan. NSA:ta kiinnostaa digitaalinen maailma ja viestintä. Siellä sormenjäljillä ei ole merkitystä (CIA voi olla eri juttu...).

Sitä paitsi jokainen USA:han matkustanut joutuu luovuttamaan kaikkien sormiensa jäljet ja oman valokuvansa joka kerta astuessaan immigrationin portista. No, kaikki eivät tietenkään käy USA:ssa, mutta ehkä suomalaisten jäljet olisi helpompi urkkia vaikka passien sormenjälkirekisteristä.

Ollaan siis tyytyväisiä, että Apple on vihdoin tuonut sormenjälkitodennuksen puhelimeen! Ehdotin sitä jo 10 vuotta sitten, mutta jostain syystä Nokia ei saanut vietyä ideaa tuotekehityksestä tuotantoon. Apple on nyt toiminut edelläkävijänä ja kohta sormenjälkitunnistus löytyy kaikista kehittyneimmistä älypuhelimista.

Onnettoman PIN-koodin korvaaminen sormenjäljellä kohentaa tietoturvaa varmasti enemmän kuin mitä sormenjäljen luovuttaminen sitä heikentää. Urkintariskit ovat jatkossakin ihan muualla kuin sormissa.

PS. Hesarin toimittaja ehti jo pelotella, miten rosvot eivät jatkossa tyydy varastamaan pelkkää puhelinta vaan leikkaavat myös sormen irti. Koska sormenjälki ei koskaan voi olla ainoa tapa puhelimen avaamiseen, pelottelu tuntuu turhalta. Sitä paitsi kehittyneemmät sormenjälkilukijat toimivat vain elävällä sormella (iPhonen tekniikan yksityiskohdat eivät vielä ole tiedossa).