perjantai 7. kesäkuuta 2013

USA vakoilee suosittujen nettipalvelujen käyttäjiä

Päivän Hesari kertoo Yhdysvaltojen seuraavan suosittujen nettipalveluiden liikennettä. Listalla ovat mm. Google, Microsoft, Yahoo ja Skype. Kalvojen mukaan Apple liittyi seurantaan lokakuussa 2012. Suosittu pilvipalvelu Dropbox on "tulossa".

Tähän asti isot palvelut ovat kertoneet antavansa tietoja vain, jos eri maiden viranomaisten pyynnöt ovat perusteltuja. Googlen Transparency report kertoo toiminnasta avoimesti julkisuuteen. Samaa tekevät muut isot palvelut -- tosin salaisiakin tietokanavia on.

Päivän uutinen osoittaa todeksi sen, mikä on ollut helppo päätellä jo kauan sitten. Signaalitiedustelu NSA:lla ja FBI:llä on -- valtion turvallisuuden nimissä tietty -- paljon suorempikin pääsy pilvipalvelun käyttäjien tiedostoihin ja sähköposteihin.

Yllättävää on, että uutisen mukaan jo 51 % todennäköisyys oikeuttaa avaamaan viestin. Aina Watergate-skandaalista lähtien USA:n omien kansalaisten urkintaa on rajoitettu tarkasti, kun taas maasta lähtevä ja maahan tuleva liikenne on ollut avointa riistaa. Nyt tästä periaatteesta ollaan näköjään valmiita joustamaan, kuten päivää aiemmin julkaistu uutinen Verizon-operaattorin salakuuntelusta osoitti. Uutinen aiheutti kohun vain siksi, että seuranta koski USA:n omia kansalaisia.

Suuret nettipalvelut ovat kiistäneet uutisen paikkansapitävyyden. Todennäköisesti uutinen onkin dramatisoinut asiaa, mutta se osoittaa joka tapauksessa kehityksen suunnan. Ellei tämä kaikki vielä olekaan todellisuutta, kohta on. Eikä NSA:n johtajan rauhoitteleva lausunto muutenkaan lämmitä meitä suomalaisia: "Voimme kerätä tietoja vain Yhdysvaltojen ulkopuolella asuvista ihmisistä, jotka eivät ole Yhdysvaltojen kansalaisia".

USA esiintyy mielellään internetin vapauden puolustajana. Muistamme puheet, miten juuri vapaus on tehnyt mahdolliseksi hienojen ja käyttäjälle ilmaisten nettipalvelujen kehittämisen. Siksi valtiot, jotka haluavat seurata kansalaistensa liikkumista netissä, ovat tuomittavia ja toimivat väärin.

Netin vapauden puolustaminen sopii hyvin USA:lle, sillä keskeiset palvelut ovat sen maaperällä, mikä tekee oman vakoilun helpoksi. "Älkää te rajoittako kansalaisten nettikäyttöä, muuten me emme pysty vakoilemaan heitä".

Netin vapaus on mukavaa silloin, kun se edistää yksityisyyden loukkaamista omien intressien mukaisesti.

On pakko hyväksyä, että jokaisella valtiolla on halu vakoilla nettikäyttöä ja toisaalta suojata omaa turvallisuuttaan netissä. Tässä USA on erikoisasemassa -- sen tavoitteet toteutuvat parhaiten, jos muut eivät tee samoin. USA:lle olisi sekä taloudellinen että tiedustelullinen menetys, jos Googlen, Microsoftin ym. palveluiden käyttö alkaisi vähentyä ja ihmiset tulisivat netissä aiempaa varovaisemmiksi. SSL-salaukseen "pakottaminen" on tässä suhteessa ovela veto Googlelta ja muilta palveluilta: ne suojaavat käyttäjää tämän työpaikan tai oman valtion urkinnalta.

Mitä tämä merkitsee suomalaisten kannalta? Emme voi lopettaa Googlen, Facebookin tai Microsoftin nettipalveluiden käyttöä. Ehkä meillä ei ole edes mitään salattavaa. Kuitenkin jo ajatus siitä, että viestintäämme saatetaan penkoa ja tiedostojamme avata jonkin toisen tutkinnan yhteydessä, on inhottava. Tämä piti olla kaikkien tiedossa, mutta harva jaksaa kuitenkaan ajatella sitä.

Erityisen ikävää tämä on Dropboxin tapauksessa. Googlen, Microsoftin ja Facebookin seuranta on helppo arvata, mutta moni käyttää suosittua tiedostojen synkronointipalvelua edes ajattelematta, kenen pilveen omat tiedostot sen mukana päätyvät.

Eikä kyse ole puhtaista nettipalveluista, vaan myös älypuhelinten tiedot menevät samoihin pilviin automaattisesti. Varsinkin pienten start-up-yritysten, jotka käyttävät Google Appseja ja Gmailia niiden ilmaisuuden vuoksi, kannattaa harkita huolella mitä tuotesalaisuuksia tiedostojen ja viestien mukana tallentuu.

22 kommenttia:

Anonyymi kirjoitti...

Olen saanut sen käsityksen, että NSA suorittaisi myös teollisuusvakoilua ja sen tulokset kanavoituisivat tehokkaasti Pantagonia lähellä oleville teknoligiayrityksille.

Aikoinaan liikkui huhuja, että salasutekniikoita vapautettiin sitä mukaan kun NSA pystyi sitä lennosta purkamaan.

Petteri Järvinen kirjoitti...

Minkä tahansa valtion kansallinen turvallisuus on nykyään sidoksissa sen yritysten taloudelliseen menestymiseen globaalissa kilpailussa. Siksi on loogista, että valtion turvallisuuden nimissä urkkimia tietoja voidaan käyttää myös kotimaan yritysten hyväksi. Tämä siis kaikissa maissa.

Karri kirjoitti...

Itse asiassa startupeilla on pienempi riski käyttää noita palveluita kuin suuryrityksillä, jotka käyttävät esim. Microsoftin palveluita ja tuotteita (Office 365, Windows Phone, Nokia Lumia jne.).

Taloudellinen tiedustelutoimintahan nimenomaan keskittyy nimittäin suuriin yrityksiin ja näiden toimintaan ellei satunnainen startup siten satu toimimaan jollain erityisen kiinnostavalla alueella.

Suurten yritysten, projektien tai liiketoimintakauppojen taloudellisesta tiedustelusta on esim. EU:ssa kerätty tietoja liittyen esim. tutkimukseen siitä, että onko Echelon-järjestelmää olemassa: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//EN&language=EN

Tällä perusteella sanoisin, että erityisesti suuryritysten kannattaisi miettiä kenelle sähköpostinsa/kalenterinsa (Microsoft Exchange, Google Apps), toimisto-ohjelmansa (Office 365, Google Apps) ja pilvitallennuspalvelunsa (Skydrive, Dropbox, Google Drive) ulkoistavat tai kenen alustoja, ohjelmistoja ja palveluita laitteissa käytetään.

Petteri Järvinen kirjoitti...

Tämäkin pitää paikkansa. Riippuu paljon toimialasta ja liikeideasta.

Aloittelevat, modernit yritykset hyödyntävät jopa 100 % pilvipalveluita ja yhdenkin idean tai patentin menettäminen saattaa olla niille kohtalokasta. Pienet startupit eivät myöskään pysty puolustamaan oikeuksiaan isompien tavoin.

Anonyymi kirjoitti...

Tulipa tähän asiaan liittyen mieleen myös Applen iOS 5:ssä esittelemä iMessages ominaisuus...

Tuon ansiosta kaikki iOS -laitteiden väliset tekstiviestit ovatkin menneet datana Applen palvelimien kautta, jolloin nekin ollaan saatu kätevästi tämän valvonnan piiriin. Kätevää.

Karri kirjoitti...

Tuo tarve päästä käsiksi palveluntarjoajiin johtuu mm. siitä, että nykyaikana aika suuri osa liikenteestä (sähköposteistakin) salataan TLS/SSL:llä, jolloin niitä on hankalampi perinteisellä signaalitiedustelulla kaapata.

Tästä syystä tiedustelupalvelut/viranomaiset yrittävät päästä nykyään käsiksi juurikin kansainvälisiin palveluntarjoajiin tai käyttäjän päätelaitteeseen tai sen sisältämän dataan.

Viimevuonna tuli pintaraapaistua tätä aihetta TTY:n seminaarikurssilla, jonka työt sitten julkistettiin seminaariraporttina otsikolla: Yhteisöt tietoturvan uhkana ja suojana (PDF)

Karri kirjoitti...

Ehkä tärkeämpi kysymys kuin se, että kenen pilvipalveluita käyttää, on myös mitä sinne oikeasti laittaa ja mitä niiden kautta välittää.

Vanha sääntö siitä, että mieti ensin, ennen kuin laitat jotain luottamuksellista Internettiin, pitää edelleen paikkansa.

Petteri Järvinen kirjoitti...

Tuon ansiosta kaikki iOS -laitteiden väliset tekstiviestit ovatkin menneet datana Applen palvelimien kautta, jolloin nekin ollaan saatu kätevästi tämän valvonnan piiriin. Kätevää.

Aivan. Ja kuin sattumalta tämä ominaisuus tuli käyttöön viime vuonna, jolloin Apple liittyi Prism-ohjelmaan.

NSA pystyy lukemaan käyttäjien vieraan maan sisällä lähettämiä tekstiviestejä ilman paikallisen operaattorin apua. Näppärää!

iMessagesta blogissani http://bittimittari.blogspot.fi/2012/11/imessage-tekstiviesti-vihreana.html

Holle kirjoitti...

Yksi ratkaisu tähän olisi toteuttaa laitetasolle vahva tiedon salaus niin että pilvipalveluihin lähetettävä tieto salattaisiin ja purettaisiin laitteessa. Esimerkiksi RSA 2048 bittisellä avaimella salatun tiedon purkaminen ei olisi mielekästä tiedusteluorganisaatioille. Helpompi olisi hankkia käytetty salausavain sen säilytyspaikasta mahdollisia takaportteja käyttäen. Jos avain olisi esimerkiksi NFC-kortilla käyttäjän lompakossa niin sieltä sitä olisi hankalampi saada pöllittyä. Muistaakseni Firefox-selaimeen on saatavilla tätä ideaa noudattava lisäke jolla Googlen sähköpostit salataan ennen lähetystä ja avausta. Tosin siinä käytetty avain tallennetaan paikallisesti - josta se on myös helppo varastaa.

Pekka kirjoitti...

On sääli, että Nokian Ovi ja Symbian jäävät unholaan. Menetimme viimeisetkin Eurooppalaiset tietotekniikkapalvelut. Joulupukin toivelistalle laitetaan Jollalle resursseja tehdä omat palvelut.

Dr Jouni Laurila kirjoitti...

Nyt olisikin varmasti hyvä kerätä näistä salauksista joku juttu. Eikös ainakin sähköpostiin ole joku PNG joka toimii Thunderbirdissä.
Kuinka hyvä on PDF salasana salaus?
Pilviverkkolevyjä saa kohtuuhintaan. Minulla on kotona semmoinen

Anonyymi kirjoitti...

En usko, että PDF:n salasanasuojaus on kovin tehokas.

Thunderbirdissä voi tosiaan käyttää PGP:tä julkisenavaimensalausta, mutta tämä ei välttämättä sovellu pilvipalveluihin, koska jos haluat weppiselaimella lukea sähköposteja niin privaattiavain pitää myös tallettaa samaiseen pilveen.

Tämän takia en suosita sen käyttöä kuin esim. Thunderbirdissä, jossa privaattiavain on sinulla paikallisesti.

Risto Mononen kirjoitti...

Tuossahan olisi markkinarako luotettavalle eurooppalaiselle pilvipalvelulle, sveitsiläiselle pankille tai vaikkapa f-securelle. Allekirjoitettu google tunnuksellani ;-)

Anonyymi kirjoitti...

Nyt kaivattaisiin kotimaassa asiantuntevaa, terävää uutisointia: Ylen pääuutislähetyksen tekijöillä ei taida olla hajuakaan kuinka laajaa algoritmipohjaista profilointia "viattomista FB-päivityksistä", sijaintitiedoista ja sen sellaisesta haluttaessa saadaan - ainakin teoriassa - aikaiseksi.

Lässytyksen sijasta tarvittaisiin herätystä todellisuuteen: pystyykö vast'ikään perustettu uusi viranomainen tukemaan suomalaisia yrityksiä teollisuusvakoilua vastaan? Plus, aina on olemassa ulkopoliittinen ulottuvuus.

Risto Mononen kirjoitti...

Viranomaiset eivät pysty suojaamaan vakoilulta kun vastapuolilla on moninkertaisesti resursseja käytössä. Mikä on "ulkopolittinen ulottuvuus" ja kuinka se vaikuttaa vastavakoiluun?

Anonyymi kirjoitti...

^ Huono sanavalinta, mutta kuvittelen että mikä tahansa valtio hyödyntäisi kernaasti myös diplomatiassa ja perinteisessä tiedustelussa kaikkea mitä voidaan analysoida muiden maiden kiinnostavista kansalaisista.

Jos haluaa vaikuttaa vieraan maan sisäpolitiikkaan, niin perinteisiäkin menetelmiä voitaneen tällaisen aineiston avulla käyttää tehokkaammin.

Oletan myös, että valtiolliset viranomaiset voivat vaatia potentiaalisilta teollisuus- tm. vakoilun kohteilta sellaista tietoturvan tasoa, etteivät vieraiden valtojen vakoilijat näe kohdetta vaivan arvoiseksi vaikka pystyisivätkin murtautumaan halutessaan. Vai päteekö tuo tavanomaisen armeijalaitoksemme oikeutus enää kyberulottuvuudessa?

Jos ei, eli mitään tehokkaita menetelmiä puolustautua ei ole, eikö silloin valtio menetä legitimiteetinsä jos ei enää pysty takaamaan yritystoiminnalle vihamielisiltä toimijoilta turvallista toimintaympäristöä? Huipputeknologian ja "luovan talouden" alojenhan piti Suomen tulevaisuus, koska tavanomainen tuotanto on jo ulkoistettu Intiaan ja Kiinaan?

Anonyymi kirjoitti...

Seuraavaksi aloitetaan suunnittelun automatisointi. Suunnittelua voidaan myös automaisoida pilkkomalla tehtäviä pieniin palasiin.

Toisaalta jos puhutaan teknisestä tuotannosta niin ei pysty suunnittelemaan jos ei ymmärrä tuotantoprosessia.
Tämähän on yksi iPhone5:n ongelma Foxconnin ja Applen välillä.

Tänä päivänä laatu tehdään suunnittelemalla, ei tekemällä tai tarkastamalla.

Anonyymi kirjoitti...

Ei sinänsä yllättänyt, että Yhdysvaltain viranomaiset saavat nettipalveluntarjoajilta pyydettäessä haluamansa tiedot, mutta nyt saatujen tietojen valossa tulee mieleen, että viranomaisille saattaa jopa olla rakennettu suoria yhteyksiä nettipalvelujen tietokantoihin. Tyyliin NSA:lla saattaa olla käytettävissä Googlen tarjoama "palvelu", johon syötetään minkä tahansa Gmail-käyttäjän osoite, ja jolla saa nähtäväksi käyttäjän sähköpostit, dokumentit ja kaiken muun mitä Google käyttäjästä tietää.

Tilastollinen analyysi kansallisen edun ja turvallisuuden kannalta haitallisista piirteistä kuuluu taatusti käytettyjen menetelmien joukossa, ja menetelmänä tämä ei ole tehoikkaimmillaan vain tietoliikennettä tarkkaillessa. Suurin hyöty saavutetaan, kun analyyseihin käytetään kerralla koko nettipalvelun tietosisältöä. Teknistä toteutusta ajatellen tämä tarkoittaisi, että tällaisia analyysiohjelmia pyöritettäneen "osana" nettipalvelujen tietojärjestelmiä. Tämä toki edellyttää että viranomaisyhteistyö yritysten kanssa on varsin tiivistä.

Anonyymi kirjoitti...

Kaikki oleellinen on jo sanottu muiden toimesta, joten lainailen pari kommenttia, jotka on hyvä tuoda täälläkin esille.

Twitteristä poimittua:
Mikko Hypponen ✘ | mikko: RT @declanm: I look forward to President Obama lecturing China president Xi Jinping tomorrow on the need to limit government Internet surveillance. #NSA


Niin, on hyvä mennä saarnaamaan kiinaan vapaudesta ja isovelivalvonnasta. Ehkä todellinen motiivi onkin se, että yritetään pitää isovelivalvonnalla saatava lisähyöty vain USA:lla.

Jos itselläni olisi android puhelin, niin RedPhone olisi valintani puheluiden tekemiseen. Toki pitäisi saada myös kaverit käyttämään sitä.

Suurin osa tavallisista kansalaisista varmastikin toteaa: "Mitä sitten jos seuraavat minua, minulla ei ole mitään salattavaa, enkä riko lakeja". Niin, et varmaan nyt, mutta mistä tietää ovatko nykyiset tekemisesi OK vielä parin kymmenen vuoden päästä. Tuolloin menneisyytesi voi palata vainoamaan sinua, sillä tietojärjestelmät eivät unohda. Tuskin hollannin juutalaisetkaan aikoinaan tulivat ajatelleeksi, että kiitos hyvien "tietojärjestelmien", heidän hävitys onnistuu tulevaisuudessa varsin järjestelmällisesti. Hollannillaha oli käsittääkseni kyseiseen ajankohtaan nähden edistyksellinen rekisteri kansalaisistansa.

Anonyymi kirjoitti...

"Niin, on hyvä mennä saarnaamaan kiinaan vapaudesta ja isovelivalvonnasta."

Tässä on oleellinen ero: Kiina todella myös rajoittaa ja sensuroi netin käyttöä ja sananvapauksia, USA vain valvoo.

Petteri Järvinen kirjoitti...

Kiina ja USA toimivat periaatteessa samalla tavalla, mutta on sentään yksi ero: USA kohdistaa vakoilun ulkomaan kansalaisiin, Kiina omiinsa. Toisaalta Kiina ei yritäkään opettaa muille valtioille, miten näiden pitäisi menetellä. Siksi USAlla on erityinen velvollisuus turvata omissa toimissaan vapaus ja yksityisyys.

Osmo kirjoitti...

Mitä tämä 51 % todennäköisyys tarkoittaa? Mielestäni ainoa objektiivinen mittari olisi se, että jälkeenpäin nähtäisiin, että ainakin 51 % oli aiheellisia. Tällöin mielestäni kriteeri olisi tosi kova. Itse sallisi huomattavasti pienemmänkin varmuuden, koska haitta aiheettomasta avaamisesta on niin pieni verrattuna siihen, että ei avata sellaista, mikä pitäisi.

Kuitenkin taitaa olla, että tässä on vain jostain täysin subjektiivisesta arviosta, jota ei jälkikäteen kontrolloida. Tällöin 51 % on ihan hatusta vedetty luku. Yleisesti kun aletaan tällaisille tuntemuksille lyömään prosentteja ollaan vaarallisilla vesillä.

Kanttaa muistaa että Suomessa ihmisten koteja mennään penkomana pelkästään "syytä epäillä" -perusteella. Kodin penkomiseen verrattuna joku viestin lukeminen on pikkuasia.

USA;:ssa on periaate, että laittomasti hankittuja todisteita ei saa käyttää oikeudessa. Tämä on ilmeisesti johtanut vääristymään, jossa kaikki on sallittua, kunhan ei käytetä todisteena oikeudessa. Eli ns. tiedustelutietoa saa hankkia vapaasti, mutta sitä ei saa käyttää oikeudessa. Viestintäsalaisuuden tulisi suojata lakilta loukkauksilta.

Website Security Test