sunnuntai 9. kesäkuuta 2013

Prismgate on varoitus tulevasta

Pari päivää uutispommin jälkeen Prismgate näyttää yhä pahalta -- mutta ei niin pahalta kuin aluksi. Washington Post on jo vetänyt osan alkuperäisestä paljastuksestaan takaisin ja muutenkin sensaatiohakuisen journalismin tasoa moititaan.

Googlen, Facebookin ja muiden nettiyhtiöiden johto on kilvan vakuuttanut, että ne eivät olleet tietoisia NSA:n vakoilusta. Taidanpa uskoa heitä. Miksi ihmeessä Google, Facebook ja Microsoft vaarantaisivat oman bisneksensä ja osakkeenomistajien edun antamalla NSA:lle vapaan pääsyn asiakkaidensa tietoihin? Jokainen arvaa, että asian paljastuminen olisi PR-katastrofi.

Nettiyrityksillä on toinenkin syy varovaisuuteen. Vain hyvämaineiset yritykset voivat houkutella alan parhaita osaajia Euroopasta ja Aasiasta. Tämä koskee etenkin Googlea, joka on nuorten it-osaajien toivetyöpaikka. Vain hyvämaineinen Google pystyy valitsemaan parhaista parhaat itselleen.

Onkin todennäköistä, että uutisointi on hieman dramatisoinut vakoiluasiaa. Nettiyritykset eivät halua NSA:n tahraavan nimeään, mutta terrorisminvastaisia lakia niiden on noudatettava. Todennäköisesti Prism onkin "vain" tekninen järjestely, joka helpottaa ja nopeuttaa viranomaisten tiedonsaantipyyntöjä (No evidence of NSA's direct access to tech companies). Tähän viittaa myös kalvoissa mainittu 20 miljoonan hintalappu -- noin pienet projektit ovat NSA:lle kahvirahoja.

Tällaisenakin Prismgate on tervetullut varoitus siitä, mihin kehitys on menossa. Älypuhelimet, pilvipalvelut ja jenkkien ylivoimaiset nettiyritykset haalivat käyttäjien tiedot itselleen. Tietojen luovutus on kuin neitsyys: sen voi menettää vain kerran. Kun tiedot on saatu, on vain ajan ja poliittisen tarpeen mukainen kysymys, miten niitä käytetään. Tämä on hyvä muistaa myös meillä Suomessa ruuhkamaksun yhteydessä.

Digitaalisen maailman kehitys on ollut kaikkien nähtävissä ja yleisesti tiedossa jo vuosia. Vasta tämän uutisen myötä suuri yleisö ja poliitikot ovat Suomessa heränneet asiaan. Siksi Prismgate on enemmän kuin tervetullut. Voimme vielä ehkä vähän vaikuttaa tulevaan kehitykseen -- jos ei muuten, niin ainakin tiedostamalla sen riskit.

Tässä yksi asia, mitä harva on ajatellut: vakoilu koskee myös brittejä. Paikallinen tiedustelu ei voi vakoilla oman maan kansalaisia, mutta CGHQ voi antaa toimeksiantoja NSA:lle, jotka tekevät työn ikään kuin ulkoistettuna. USA:sta katsoen Britannia on ulkomaa, joten vakoilu on sallittua. Tulokset välitetään sitten takaisin Britanniaan.

Herää kysymys, minkä muiden valtioiden kanssa USA:lla on näin läheistä tiedusteluyhteistyötä. Joka tapauksessa Prismgate opettaa, ettei nettivakoilu ole pelkkä USA:n asia. Palveluyritysten kotimaana sillä vain sattuu olemaan ylivoimainen asema tietoja kerättäessä, ja olisi hulluutta jättää tällainen mahdollisuus käyttämättä.

Mistä päästäänkin seuraavaan havaintoon: kotimaisia toimittajia luonnollisesti kiinnostaa, ovatko myös suomalaiset joutuneet vakoilun kohteeksi. Tällainen kysymys tuntuu nettiaikana turhalta. Netissä ei ole maita eikä kansalaisia. Netti -- ja sitä myötä sen vakoilu -- on globaalia ja sen ainoat rajat muodostuvat palvelutarjoajista. Suomalaisuus tai ruotsalaisuus ei kiinnosta ketään eikä merkitse mitään.

NSA:n toimivallan rajoittaminen oman maan ulkopuolelle on keinotekoista ja aikansa elänyttä. Olemme joko microsoftilaisia, googlelaisia tai applelaisia. Siksi vakoilu on palvelu- eikä maakohtaista.

Lisäys 10.6.2013: Guardian kirjoittaa, että jos CGHQ pyytää tiedusteluapua NSA:lta omien kansalaistensa vakoilemiseksi, se rikkoo lakia. 

15 kommenttia:

Anonyymi kirjoitti...

Muistaakos joku vielä, millainen pikku kohunpoikanen oli Soneran sähköpostipalvelimet Ruotsissa, kun tämä FRA:n vakoilumahdollisuus julkistettiin?

http://www.svd.se/opinion/brannpunkt/fra-kan-inte-spana-pa-folket_1413419.svd

MK kirjoitti...

Petteri; kannattaa seurata Greenwaldin twitter-fiidiä. Siellä hän sanoo mm. "We reported - accurately - what the NSA claims. We reported - accurately - what the companies claim. It conflicts. That's why we reported it"
Hän haluaa julkisen keskustelun. Itseäni kiinnostaa erityisesti se, että meillä ei ole ihmisoikeuksia amerikkalaisfirmojen asiakkaina. Tai tarkemmin; me olemme eurooppalaisten tytäryhtiöiden asiakkaita, mutta dataprosessorina toimivan amerikkalaisen emoyhtiön silmissä olemme vain ulkomaalaista massaa, niinkuin heidän kotimaansa heille lain nimessä kertoo.

Anonyymi kirjoitti...

"kotimaisia toimittajia luonnollisesti kiinnostaa, ovatko myös suomalaiset joutuneet vakoilun kohteeksi. Tällainen kysymys tuntuu nettiaikana turhalta."

Samaan kategoriaan voi lisätä kysymyksen, onko USA:n viranomaisille annettu tietoa myös Googlen Haminan palvelinkeskuksesta. Ikäänkuin tiedolla olisi jokin kotipalvelin: "Minun tietoni asuvat Haminassa, missä sinun tietosi asuvat?" :)

Anonyymi kirjoitti...

USA:n lainsäädäntö koskee kaikkia amerikkalaisia yrityksiä ja siksi viranomaiset saavat halutessaan tiedot myös Haminan palvelukeskuksessa olevista tiedoista. Sikäli tietojen sijainnilla ei ole väliä, vaan vasta yhdessä yritys ja kotipaikka ratkaisevat.

Anonyymi kirjoitti...


How Google, Facebook, Skype, Yahoo and AOL Are All Blatantly Lying in Denying NSA Spy Grid Scheme

http://bit.ly/12bHIio

Anonyymi kirjoitti...

Voihan olla, että NSA:lla on oma peiliportti noiden yritysten konesaleissa, joten he pystyvät nauhoittamaan kaiken liikenteen.

Tällöinhän yritykset eivät teknisesti luovuta mitään.

Hintalappu sopisi myös tuollaiseen järjestelyyn.

Anonyymi kirjoitti...

Mahtaisiko tuo olla ylivoimaista luoda sellainen perusdatapalvelujen rakenne EU:n tasolla että kaikki EU:ssa luotu data ei defaultisti kiertäisi USA:n kautta niinkuin nyt näyttää olevan tilanne. Nythän noin yksinkertaistetusti yksi snifferi datamerikaapelin päähän riittää troolaamaan koko EU:n luoman datan.

Petteri Järvinen kirjoitti...

Ongelma on siinä, että kansalaiset haluavat käyttää Googlea, Facebookia, Gmailia ym. eikä Euroopan rahkeet riitä kilpailevien palvelujen kehittämiseen.

Toinen ongelma on siinä, että Saksa, Ranska ym. vakoilevat ihan samalla tavalla oman maansa läpi kulkevaa nettikäyttöä. Juhlapuheista huolimatta ne eivät oikeasti halua estää USA:n vakoilua, koska tekevät itse samaa, ja olemalla vaiti saavat dataa USA:lta. Jenkit tekevät vain likaisen työn, mutta turha uskoa että Eurooppakaan tässä putipuhdas olisi.

Jussi kirjoitti...

Kannattaisi käyttää Linuxia.

Linuxista turvaa

Anonyymi kirjoitti...

Kannattaa lukea lakimies Christopher Soghoian'in tekemä analyysi Yahoon vastauksesta (http://paranoia.dubfire.net/2013/06/analyzing-yahoos-prism-non-denial.html). Siinä Yahoo kieltää vapaaehtoisesti antaneensa tietoja, mutta heidäthän onkin pakotettu siihen yms. Soghoian on erittäin hyvin perehtynyt kyberasioihin ja mm. paljastanut SSL:n heikkouksiin perustuvan vakoilutekniikan laajan hyväksikäytön. Jos jotakuta kannattaa seurata Twitterissä niin tuota kaveria.

Sami Lehtinen kirjoitti...

Ei mitään uutta, siksi salaiset asiat hoidetaan aina henkilökohtaisella tapaamisella kävelyllä. Sähköpostiin, tekstiviesteihin, puheluihin tai muihinkaan sähköisiin palveluihin ei pidä laittaa mitään sellaista tietoa, mitä et haluaisi nähdä Hesarin etusivulla. Vakoilevat? Jos vakoilevat, niin antaa vakoilla.

Anonyymi kirjoitti...

Tämä blog on blogspotissa, se on Googlen omistama. NSA saa halutessaan kaikkien tänne kommentoivien IP osoitteet tietoonsa.

Anonyymi kirjoitti...

Tietojen vuotaja on astunut julkisuutenn, Guardian: Edward Snowden: the whistleblower behind revelations of NSA surveillance

The 29-year-old source behind the biggest intelligence leak in the NSA's history explains his motives, his uncertain future and why he never intended on hiding in the shadows ...

Anonyymi kirjoitti...

Varmasti ensin profiloivat ketä
vakoilevat, jos vakoilevat ja joku
syy, epäilys siihen on olemassa.
Varmuutta ei voi saada koskaan ettei joku vakoilisi, sitä kun ei tavallinen käyttäjä huomaa.

Anonyymi kirjoitti...

"Googlen, Facebookin ja muiden nettiyhtiöiden johto on kilvan vakuuttanut, että ne eivät olleet tietoisia NSA:n vakoilusta. Taidanpa uskoa heitä. Miksi ihmeessä Google, Facebook ja Microsoft vaarantaisivat oman bisneksensä ja osakkeenomistajien edun antamalla NSA:lle vapaan pääsyn asiakkaidensa tietoihin? Jokainen arvaa, että asian paljastuminen olisi PR-katastrofi".

Jos oikeus pakottaa someyhtiöt antamaan konesalinsa NSA:n käyttöön, niin mitä ne sille voivat. Ja tietenkin he valehtelevat olevansa tietämättömiä asiasta, niin heidän pitää tehdäkin.
Nyt Microsoft ja Facebook antoivat "yölausuntonsa" heidän oikeuden päätöksellä luovuttamiensa henkilöjen määrän, koitetaanko tuolla kaataa tämä Prism-vakoilukohu, siinähän ei ollut kyse yksittäisistä tapauksista vaan yleisestä somekäyttäjien seurannasta. Selvää disinformaatiota.

Website Security Test