torstai 29. kesäkuuta 2017

Petya näyttää olevan oikea kyberhyökkäys

Media viljelee mielellään kyberhyökkäys-sanaa, koska sen avulla otsikoista saa dramaattisempia. Tuore Petya (Petja) kiristysohjelma vaikuttaa kuitenkin olevan aito kyberhyökkäys, jonka toimintaa ja vaikutuksia kannattaa seurata tarkasti.

Monet seikat viittaavat siihen, ettei kiristyksen takana tällä kertaa ole pelkkiä rikollisia, vaan ohjelmalla haetaan jotain muuta:
  • Petya laitettiin levitykseen murtautumalla Ukrainassa yritysten käyttämän verosovelluksen valmistajan verkkoon. Näin ohjelma saatiin levitettyä nopeasti yrityksiin. Murto tehtiin niin taitavasti, että päivitykset levittivät sen uhreille ennen kuin yhtiö itse huomasi tapahtunutta.
  • Yrityskäyttäjien näkökulmasta vaadittu 300 euron lunnassumma on mitättömän pieni. Aiemmat kiristäjät ovat vaatineet 1-3 bitcoinia, mikä vastaisi nykykurssilla 2000-6000 euroa. Miksi rikollinen kiristäjä tyytyisi näin pieneen summaan?
  • Maksaminen on tehty vaikeaksi, koska käytössä on vain yksi bitcoin-osoite ja yhteystietona annetaan ilmainen sähköpostiosoite (joka on jo suljettu). Oikeat rosvot tekevät maksamisesta mahdollisimman helppoa. 
  • Vaikka uhri maksaisi, siitä ei ole apua, sillä alkuperäisestä Petya-kiristäjästä poiketen uusi versio tuhoaa kiintolevyn alun pysyvästi. 
Petya leviää tekniikoilla, joita käytetään vain yritysverkoissa. Sen tavoitteena näyttää siis olevan puhtaasti yritysten liiketoiminnan vahingoittaminen. Lunnasvaatimus on pelkkää kosmetiikkaa, jolla häivytetään hyökkääjien todellisia tarkoitusperiä.

Kaiken lisäksi samana aamuna, jolloin Petya alkoi levitä, Ukrainan sotilastiedustelun eversti surmattiin autopommilla.

Ukrainalainen softavalmistaja ja kansallisesti käytetty ohjelmisto, ukrainalaiset yritykset, ukrainalainen eversti... en usko kaiken olevan sattumaa. Petya on oikea kyberhyökkäys, jonka tavoitteena on vahingoittaa yhtä maata. Tästä voi päätellä sen, millaiset voimat ovat hyökkäyksen takana.

Meille muille Petya on erinomainen oppitunti kyberturvallisuuden merkityksestä. Entä jos hyökkäys olisi tehty suomalaisten yritysten käyttämän softan kautta? Miten paljon Suomen talous ja kansalaisten arki olisivat kärsineet? Panostammeko tarpeeksi digitaaliseen maanpuolustukseen, vai ovatko uhkakuvamme edelleen talvisodan vankeja?

Petya osoittaa, että päivitykset voivat olla myös vaaraksi. Asiakkaat luottavat, että päivityksen koneeseen tuoma koodi on turvallista ja sallivat sen ajamisen (toisin kuin sähköpostin tuomien tiedostoliitteiden!), mutta jos softan tekijän omiin järjestelmiin on murtauduttu, päivitykset voivat olla suorastaan vaarallisia. Tunnollinenkaan päivittäminen ei takaa tietoturvaa.

maanantai 26. kesäkuuta 2017

Kansallinen tietoturva paremmaksi pre-paidin tunnistuksella

Suomalainen tietoturva on maailman huippua, mutta parantamisen varaa on aina. Yksi selvä aukko on se helppous, jolla pre-paid-liittymiä voidaan käyttää esimerkiksi identiteettivarkauksissa: uhrin nimissä tilataan tavaraa ja yhteystiedoksi annetaan pre-paid-liittymän numero. Myös pankki hyväksyy turvailmoitusta varten pre-paid-numeron, mikä vesittää koko tekstiviestin hyödyn, sillä yhteys tilin todelliseen omistajaan katkeaa.

Miksei Viestintävirasto voisi pitää rekisteriä, jossa olisi listat operaattorien pre-paid-numeroavaruuksista? Pankeille, vakuutusyhtiöille, verkkokaupoille ym. tarjottaisiin rajapinta, jonka kautta ne voisivat kysyä, onko asiakkaan ilmoittama numero pre-paid.

Kysyjä saisi itse päätellä tiedon merkityksen. Erityisen epäilyttävää olisi, jos tavallinen numero vaihdettaisiin pre-paidiksi ja pian sen jälkeen tulisi iso tilaus. Myöskään 2FA:ta (two-factor authentication) ei pitäisi koskaan lähettää pre-paid-numeroon.

Kokonaan pre-paideja ei voi kieltää, koska niille on myös hyväksyttäviä käyttötarkoituksia. Järjestelmää voisi kehittää niin, että pelkän kyllä/ei -tiedon lisäksi palautuisi tieto siitä, milloin numero on avattu. Mitä pidempään pre-paid on ollut käytössä, sitä turvallisempi se luultavasti on.

Ei ole vaikea toteuttaa, sillä Numpac tarjoaa samantyyppistä palvelua operaattorin selvittämiseen.

Idea on vapaasti kaikkien hyödynnettävissä. Suomi 100 -hengessä eteenpäin!

Lisäys: Tekstiviestin tavoitteena on siis lisätä ylimääräinen varmistus isompien summien siirtoon. Siitä on hyötyä, jos rosvo esimerkiksi pääsee MTM-hyökkäyksellä uhrin ja pankin oikean palvelun väliin, kuten on käynytkin. Fiksumpi rosvo olisi sisään päästyään vaihtanut ensi töikseen puhelinnumeron prepaidiksi tai poistanut koko varmistuksen käytöstä, jolloin uhri ei olisi saanut hälytystä. Ainoa suojakeino on rajoittaa jollain tavalla puhelinnumeron vaihtamista tai esim. vaatia, että uusi numero otetaan käyttöön vasta 24 tunnin kuluttua. Myös ilmoitusviesti vanhaan numeroon numeronvaihdon yhteydessä auttaisi. Tältä osin ongelma on saman tyyppinen kuin postin osoitemuutoksissa, joiden aitoutta on vaikea varmistaa.

Teknisesti ongelma ei ole puhelinnumerossa vaan pankkitunnusten joutumisessa vääriin käsiin, joko varkauden tai esim. MTM-hyökkäyksen vuoksi. Uhri veisaa tekniikasta viis, hänen kannaltaan jokainen uusi suojakeino voi olla ratkaisevan tärkeä. 

keskiviikko 7. kesäkuuta 2017

Haluatko julkisuutta asiallesi? Tilaa siitä raportti

Eilen julkaistiin raportti, jonka mukaan "suuri osa pk-yrityksistä on täysin pudonnut digitaalisesta kehityksestä", sillä 35 % niistä ei ole mitään toimintaa verkossa. Tällaiset yritykset voidaan luokitella joko "digipudonneiksi" tai "digieksyneiksi".

Tulos on varmaan ihan totta ja pk-yrityksiä pitääkin hoputtaa kehittymään (vaikka samaa nettilaulua on veisattu jo 20 vuotta), mutta kun katsoo raportin tekijöitä, olisiko tulos voinut olla mikään muukaan? Tekijöinä olivat nimittäin Google ja Vainu.io Software. Jälkimmäinen on tuore nettistartup, joka on erikoistunut digitaaliseen myynti- ja markkinointipalveluun. Mukana oli myös Suomen Yrittäjät, joka uutisoi aiheesta. Uutisessa kehutaan Googlen Adwords -palvelua myynnin vauhdittajana.

Niin ikään eilen julkaistiin professori Heikki Hiilamon selvitys keinoista tuloerojen kaventamiseksi. Tutkimuksen tilaaja oli Kalevi Sorsa -säätiö, jonka tiloissa se myös julkaistiin (tv-uutisten kuvasta päätellen). Ketään tuskin yllätti, että raportti päätyi suosittamaan hyvätuloisten verotuksen kiristämistä.

Tänään julkaistu kirjastoseuran tilaama raportti päätyi tulokseen, jonka mukaan kirjastot maksavat itsensä takaisin moninkertaisesti. Kirjastojen suurena ystävänä tervehdin lopputulosta ilolla, mutta olisiko tämäkään selvitys voinut päätyä muuhun lopputulokseen?

Selvitys oli tilattu komealta kuulostavalta Oxford Research -yritykseltä, jolla ei ole mitään tekemistä Britannian Oxfordin tai kuuluisan yliopiston kanssa. Edellisen kerran törmäsin tähän lobbaus- ja viestintätoimistoon pari vuotta sitten, kun Googlen tilaama tutkimus kertoi Googlen olevan erittäin tyytyväinen Suomeen ja datakeskusten tuovan Suomeen tuhansia työpaikkoja. Silloin tiedote oli mennyt sellaisenaan läpi Ylen paikallisissa uutisissa.

Pari vuotta sitten Oxford Researchilla oli kolme suomalaista työntekijää. Nyt määrä on kasvanut neljään ja konttori muuttanut paremmalle paikalle Helsingin keskustaan. Sivuillaan ENSR-verkosto kertoo erikoistuneensa "soveltavaan sosiaaliseen ja taloudelliseen tutkimukseen". Tietoa meistä -kohdassa yritys kertoo erikoisalansa olevan "alueiden ja elinkeinoelämän kehittäminen sekä hyvinvointialojen toiminnan edistäminen". Toisaalla se mainitsee "yhdistävänsä liikkeenjohdon konsultin vaikuttavuuden ja viestintäfirman dynaamisuuden". Kuulostaa kovasti lobbaukselta, tämäkin.

Kun melkein mikä tahansa asia saadaan nostettua uutiskynnyksen yli tekemällä siitä "tutkimus", "selvitys" tai "raportti", toivoisi vielä jäljellä olevilta toimittajilta lähdekriittisyyttä -- ettei kaikki jää lukijan oman medialukutaidon ja omatoimisten taustaselvitysten varaan.

maanantai 5. kesäkuuta 2017

F-Secure varoitti vihdoin: Mansions of Madness

Virustorjunnan tarpeellisuudesta älypuhelimessa voi olla monta mieltä. Kiista F-Securen edustajan kanssa sai minut ostamaan ohjelman kokeiluun, eikä se ole viiteen kuukauteen antanut elonmerkkejä itsestään.

Tänään tietoturvakurssilla sain vinkin eräältä osallistujalta: Google Play-kaupasta ladattu Mansions of Madness -lautapelin lisäohjelma saa kuulemma virustarkistuksen älähtämään. Sitähän piti tietenkin kokeilla heti.

Mansion of Madness Googlen Play-kaupassa.
Ja toden totta: kun 152 megatavun paketti oli ladattu, F-Secure antoi ensi kertaa elonmerkin itsestään (edellisen oman tarkistuksen olen ajanut näköjään maaliskuussa):

F-Securen varoitus.
Ohjelmassa on siis jokin adware-lisäke, joka esittää mainoksia ja ehkä kerää henkilötietoja.

Virustentorjunta: 1 ongelma havaittu.
SAFE luokittelee ohjelman "mahdollisesti ei-toivotuksi", ei varsinaiseksi haittaohjelmaksi:

Mahdollisesti ei-toivottu.
Tein kuten ohjelma ehdotti ja poistin latauksen ennen varsinaista käyttöä. Toistan vanhan ohjeeni: ladattaessa pelejä ja hupiohjelmia Play-kaupasta kannattaa olla korostetun varovainen, koska niiden joukossa on hämääviä ja suorastaan huijaavia apuohjelmia. Jos jättää pelit rauhaan, haittaohjelman riski on erittäin pieni. Ilmeisesti tämäkin näyttää vain mainoksia, joten varsinaisesta haittaohjelmasta ei ole kyse.

Oletko törmännyt muihin Android-sovelluksiin, joista virustorjunta antaisi oikean hälytyksen (ei siis pelkkiä valevaroituksia web-sivuilta)?

lauantai 27. toukokuuta 2017

Yksityisyys ei olekaan kuollut

Fraasi "yksityisyys on kuollut" on toisteltu viime vuosina loputtomiin, olen tainnut itsekin sanoa niin. Nyt on pakko muuttaa mielipidettä. Halla-ahon avioton lapsi osoittaa, että yksityisyyttä löytyy yhä.

Viime viikon todellinen yllätysuutinen oli Halla-ahon avioton lapsi. Eikä kyse ollut yhden yön suhteesta, vaan se oli jatkunut kahdeksan vuotta. Mitä päätelmiä tästä voi tehdä?

Ensinnäkin sen, että suomalaiset viranomaiset osaavat vaieta. Halla-aho on tunnustanut lapsen, joten isyyden on täytynyt tulla monen virkailijan tietoon. Kukaan heistä ei ole juorunnut asiasta lähipiirilleen eikä myynyt tietoa medialle. Se on kunnioitettavaa.

Tuskin missään muussa EU-maassa kohuttu kansanedustaja ja EU-parlamentin jäsen olisi voinut ylläpitää salasuhdetta kahdeksan vuotta ja lasta 1,5 vuotta ilman, että tieto vuotaisi julkisuuteen. Ainakin Suomessa yksityisyyttä on yhä olemassa, jopa siellä missä yksityisyyden kynnys on juridisestikin tavallista alempi.

Toinen johtopäätös on käänteinen: kuinka hampaaton median pitää olla, ettei se oma-aloitteisesti saa asiaa selville? Lapsi tuli julkisuuteen vasta äitinsä Facebook-päivityksen vuoksi. Media penkoo pääministerin sukulaisten omistuksia ja kiukuttelee poliitikkojen herkkähipiäisyydestä, mutta ei löydä näin suurta uutista ennen kuin kompastuu siihen.

Ei, vaikka kyse on kansan/euroedustajasta, jonka mielipiteet ovat liikuttaneet tätä maata ehkä enemmän kuin pääministerin tylsät kannanotot. Uutinen vaikuttaa siihen, miten arvioidaan Halla-ahon kommentteja arvoista, moniavioisuudesta, sosiaaliturvasta ja perhe-elämästä sekä edustajan yleistä luotettavuutta.

Kolmas johtopäätös on yllätys: eihän Halla-aho olekaan mikään median hallinnan mestari, vaikka yleisö ja toimittajat itse ovat häntä sellaisena pitäneet. Kuka tahansa viestinnän ammattilainen olisi osannut neuvoa Halla-aholle, miten asia pitää hoitaa. Pitää tulla miehekkäästi julkisuuteen ja kertoa asia itse, jolloin ryhdikäs toiminta olisi kääntynyt hänen edukseen. Eikä ikinä saa sanoa, että lapsi oli virhe.

Nytkin kannattajissa on monia, joiden silmissä mestarin inhimillisyys on vain hyväksi, mutta toisin toimimalla niitä olisi vielä enemmän. Ei kai Halla-aho oikeasti kuvitellut, että tieto pysyy salassa loputtomiin, tai että Brysselissä piilottelu auttaa? Oli vain ajan kysymys, milloin tyytymätön äiti auttaisi hampaatonta mediaa puremaan.

Yksityisyys ei ole kuollut, mutta jotain sille on tapahtunut. Viime vuonna maailmalla hämmästeltiin sitä, miten kukaan ei tiennyt David Bowien sairastaneen syöpää 1,5 vuoden ajan. Yksityisyyttä siis on, mutta siitä on tullut sattumanvaraista. Emme koskaan voi tietää, mikä pieni asia lähtee kasvamaan lumipallon lailla ja leviää kaikkialle nettiin. Toisaalta isotkin asiat voivat pysyä yksityisinä yllättävän pitkään. 

torstai 25. toukokuuta 2017

Ex-maajohtaja taitaa olla narri

Kaksi vuotta sitten Onecoinin itse itsensä maajohtajaksi nimittänyt Tommi Vuorinen kiisti Ilta-Sanomien haastattelussa epäilyt petkutuksesta:

– OneCoinin perustaja Ruja Ignatova on Bulgariassa ja maailmalla tunnettu bisnesnainen. Hän haluaa tehdä taloushistoriaa ja tekee itsestään miljardöörin nopeasti. Täällä Suomessa häntä syytetään huijariksi. Se on sama asia, jos Björn Wahlroosia syytettäisiin pyramidihuijariksi, puuskahtaa Vuorinen huijausepäilyistä.

– Kukaan ei yritä huijata tai petkuttaa tässä ketään.

Samalla hän kertoi laittaneensa itsensä likoon uuden kryptovaluutan puolesta: "Parin vuoden kuluttua minä olen joko narri tai sankari".

"Parin vuoden päästä olen joko narri tai sankari".
Haastattelusta on tänään kulunut tasan kaksi vuotta. Onecoinia ei edelleenkään voi käyttää missään oikeassa kaupassa, sitä ei voi vaihtaa rahaksi eikä oikeastaan mikään muukaan yhtiön lupauksista ole toteutunut. Vanhat lupaukset on korvattu uusilla ja Vuorinen itse on kadonnut julkisuudesta.

Tästä voi päätellä, ettei hänestä ainakaan sankaria tullut.

JK. Jos Onelife.eu omaan laskuriin voi luottaa, uusien jäsenten määrä on romahtanut. Laskin nopeasti jäsenmäärän kasvun noin kuukauden välein, mitä olen lukemaa seurannut:

24.9.2016 108547
25.10.2016 223645
16.11.2016 100975
24.12.2016 135016
24.1.2017 64042
24.2.2017 73997
25.3.2017 61170
24.4.2017 55725
24.5.2017 31602

Tällä hetkellä noin tuhat uutta jäsentä vuorokaudessa, kun virta viime syksynä oli yli kolminkertainen.

maanantai 22. toukokuuta 2017

Ihmiskunnan ongelmat ja tekoälyn ratkaisut

Talouselämän web-jutussa osui silmiini loppulause, jonka saattoi ymmärtää näin: tiedeyhteisö tuottaa valtavasti tutkimustuloksia, mutta kukaan ei pysty käsittelemään niitä kaikkia -- paitsi tekoäly, joka voisi löytää tuloksista ratkaisut ihmiskunnan nykyisiin ongelmiin.

Ajatus ei ollut jutun kannalta oleellinen eikä se edes mennyt ihan noin, mutta ainakin omassa mielessäni syntyi vaikutelma, että tekoäly voisi pelastaa ihmiskunnan, kun oma älymme ei siihen riitä.

Väitän vastaan: meillä on kaikki tieto ja ratkaisut jo nyt, mutta ei tahtoa niiden soveltamiseksi. Yksikään poliitikko ei halua tehdä ikäviä päätöksiä, koska ei tulisi enää valituksi uudelleen. Kuluttajat eivät halua ikäviä vaan mukavia ja halpoja vaihtoehtoja. Lyhyesti sanoen: ongelmat eivät johdu tiedon, vaan tahdon puutteesta ja tunteesta. Silloin tekoäly ei pysty niitä ratkaisemaan.

Mitä tekoäly vastaisi, jos siltä kysyttäisiin ratkaisua tämän hetken ongelmiin? Luultavasti ensimmäisenä se ehdottaisi asevarustelun lopettamista. Moni inhimillinen ja ympäristöön liittyä ongelma ratkeaisi, jos aseisiin hukatut 1000 miljardia (noin) käytettäisiin hyödyllisiin investointeihin. Aseet eivät tuota mitään, vaikka suurvaltojen talous onkin riippuvainen niiden tuotannosta.

Emme tarvitse tekoälyä kertomaan, että asevarustelu on typerää. Tiedämme sen, mutta silti emme pysty tekemään asialle mitään. Tätä dilemmaa ei tekoälyllä ratkaista.

Usko tekoälyn voimaan tuo mieleeni 20 vuoden takaiset ajat, jolloin netti alkoi yleistyä. Silloin uskoin, että kun tieto tulisi kaikkien saataville vapaasti ja reaaliaikaisesti, monet ongelmat ratkeaisivat ja sodatkin loppuisivat. Kuka haluaisi sotia naapureita vastaan, kun kaikkialla saatavilla oleva tieto osoittaisi sodan turhaksi?

Moinen ajattelu oli naurettavan idealistista. Ihmisiä ei kiinnostanut niinkään tieto vaan tunne. Juuri nyt tuntuu, että netti suorastaan pahentaa konflikteja ja yhdistämisen sijaan erottaa ihmisiä.

Yritykset, jotka kehuvat tekoälyn tuomia uusia mahdollisuuksia (kuten Talouselämän jutussa), keskittyvät asian yhteen puoleen. Luulen, että tekoälyn kokonaisvaikutukset tulevat olemaan paljon laajemmat, eivätkä niin positiivisia kuin nyt vallalla oleva, uudelle alalle tyypillinen teknologiaoptimismi antaa odottaa.

Aiheeseen vain löyhästi liittyen linkki Microsoftin demoon, jossa tekoäly yrittää päätellä henkilön iän ja sukupuolen valokuvan perusteella: www.how-old.net.

Lähetä (tai linkitä netistä) valokuva, arvaamme iän ja sukupuolen.
Kuten yhtiö itse sanoo, palvelu on vasta kokeiluasteella, eikä tuloksista pidä loukkaantua.

Ainakin sukupuoli meni oikein.
Kun levitin linkkiä somen kautta muille, sain kahdenlaista palautetta: toiset moittivat palvelua typeräksi (tekoäly arvioi iän yläkanttiin), toiset kehuivat sitä imartelevaksi (ikä alakanattiin). Moni sanoi, ettei iän arvioinnilla ole mitään tekemistä älyn kanssa.

Ei olekaan. Tekoäly-termi on harhaanjohtava, koska se ei pyrikään tekemään koneesta älykästä -- ainoastaan antamaan sille kykyjä, jotka aiemmin ovat onnistuneet vain ihmiseltä. Iän arviointi kuvan perusteella on juuri tällainen tehtävä. Kaiken lisäksi se on erittäin vaikeaa. Inhimillisestä kokemuksesta huolimatta ikää on vaikea päätellä pelkän valokuvan perusteella.

Tekoälyn toimivuutta ei pidä arvostella sen mukaan, kuinka pahasti algoritmi erehtyy. Oleellinen kysymys on, pystyykö kone arvioimaan iän yhtä hyvin kuin ihminen -- vai peräti paremmin? Jälkimmäisessä tapauksessa Talouselämän jutussa hahmoteltu 3000-kertainen muutosvaikutus (konsulttiyhtiö McKinseyn arvio) on jo pidemmällä kuin arvaammekaan.

Samoin ovat tekoälyn tuomat muutokset, niin hyvät kuin huonotkin.

sunnuntai 21. toukokuuta 2017

Seuraava Wannacry-epidemia on vain klikkauksen takana

Wannacry-kiristysohjelma osoitti, miten riippuvaisia olemme tietotekniikasta. Onneksi tällä kertaa kyse oli vain rahasta. Seuraavaa hyökkäystä Suomea vastaan ei kuitenkaan ehkä torjuta tankeilla eikä Horneteilla. Siinä mietittävää myös maanpuolustuksesta vastaaville.

Hyökkäystä odotellessa on Wannacry-jälkipyykin aika. Syyttävä sormi osoittaa yrityksiin ja käyttäjiin: korostetaan, että koneet pitäisi päivittää säännöllisesti, jotta haittaohjelmat eivät leviäisi. Vastuu tietoturvallisuudesta on kuitenkin paljon laajempi.

Windows XP ilmestyi syksyllä 2001. Sen tietoturva sai alusta pitäen huonon maineen. Palomuuri oli oletusarvona pois päältä, jolloin koneet saastuivat jo käyttöönoton aikana. Internet oli vielä uutta, eivätkä ohjelmoijat osanneet varautua uhkiin. Seurasi pitkä ketju päivityksiä, joilla XP saatiin jokseenkin kuntoon.

Huhtikuussa 2014 Microsoft lopetti Windows XP:n tukemisen ja edellytti kaikkien päivittävän käyttöjärjestelmät uudempiin. Paljon vanhoja koneita jäi kuitenkin yhä käyttöön, koska ne toimivat sinällään hyvin. Miksi vaihtaa toimivia laitteita?

Päivitysten loppuminen kostautui viime perjantaina, kun erityisesti Windows XP -koneet joutuivat Wannacry-kiristäjän uhreiksi.

Miksei Microsoft havainnut tietoturva-aukkoa 13 vuoden ­aikana ja korjannut sitä? Voiko ohjelmistoyhtiö jättää korjaukset tekemättä vain sillä perusteella, että tuotteen elinkaari on päättynyt? Aukko osoittaa, että 13 vuoden ajan Microsoft myi virheellistä tuotetta.

Microsoft ei löytänyt aukkoa, mutta tiedusteluvirasto NSA löysi ja käytti sitä omiin vakoilu­ohjelmiinsa. Microsoftin aukolla turvattiin Yhdysvaltojen kan­sallisia etuja, kunnes hakkeri­ryhmä vuosi ohjelmat nettiin huhtikuussa ja kuvio asettui ihan uuteen asentoon.

Nyt Microsoftin päälakimies Brad Smith vertaa Wanna­cryptiä varastettuun Tomahawk-ohjukseen. Voi olla, mutta silloin NSA hukkasi piirus­tukset, kyberrikolliset raken­sivat ohjuksen – ja Microsoft ­toimitti siihen räjähteen.

Yritykset ovat puun ja kuoren välissä, kun niiden pitää jatkuvasti asentaa virheitä korjaavia päivityksiä. Kaikkea älytele­visioista puhelimiin pitää päivittää. Varsinkin yritysjärjestelmissä päivitykset saattavat rikkoa muita ohjelmia, joten niistä on tullut melkein kiro­sana.

Tietoturvaongelmat voidaan ratkaista vain, jos valmistajat ­alkavat ottaa nykyistä enemmän vastuuta työstään. Jättikokoisten ohjelmien sijaan pitää tehdä pienempiä ja hallittavampia moduuleita ja tiedonkäsittelyä siirtää enemmän pilveen.

Päivitys on pelkkä särkylääke, joka ei paranna varsinaista tautia. Niin ikään tietoturvan perusteet on koulutettava uutena kansalaistaitona jokaiselle.

Windows XP:tä seurasi Vista-käyttöjärjestelmä, jonka tuki loppui tämän vuoden keväällä. Vastedes siihenkään ei enää ­ilmesty turvapäivityksiä. Mahdolliset virheet saavat jäädä.

Seuraava Wannacry-epidemia odottaa jo laukaisuaan – kyberrosvojen hiiren klikkausta.

Julkaistu Helsingin Sanomissa 17.5.2017

maanantai 15. toukokuuta 2017

Wannacry, dagen efter

Wannacry (alias Wannacrypt tai WanaCrypt0r 2.0) on hiipunut ainakin toistaiseksi, joten on jälkipyykin aika.

Ensinnäkin hyvät uutiset: ei, digitaalista maailmanloppua ei tullut tälläkään kertaa. Raflaavista otsikoista huolimatta tämä ei ollut edes todellinen kyberhyökkäys, pikemminkin kyberrosvojen käsistä karannut kiristysohjelma. Tuskin he itsekään halusivat rikkoa yli 200 000 konetta ja aiheuttaa maailmanlaajuisen uutisen -- tieto haittaohjelmasta vähensi maksuhalukkaiden määrää. Kolmen Bitcoin-osoitteen perusteella rahaa on lähetetty vain muutaman kymppitonnin verran. Se on murto-osa pahimpien kiristäjien saaliista. Mutta ehkä osoitteita on enemmänkin?

Onko 200 000 saastunutta konetta paljon? Eipä oikeastaan. Vuosituhannen vaihteen molemmin puolin pc-koneet olivat paljon haavoittuvampia, koska netin tietoturvavaatimukset olivat vielä uutta. Loveletter-virus, Confikr, Nimda ja monet muut verkkomadot saastuttivat suhteellisesti enemmän koneita.

Ylivoimainen ykkönen lienee kuitenkin vuonna 1988 Unix-koneissa levinnyt ns. Morrisin mato, joka saastutti 10 prosenttia silloisen internetin työasemista. Mato tarttui samaan koneeseen useita kertoja, jolloin se meni polvilleen ja kaatui. Vastaava levinneisyys vaatisi tänä päivänä ehkä 200 miljoonaa uhria, ja siitä jäätiin nyt yhteen promilleen.

Wannacry oli kuitenkin edeltäjiään vaarallisempi, sillä se tuhosi työtiedostoja. Tästä näkökulmasta vahingot olivat ehkä suurempia kuin millään aiemmalla madolla. Ja ne olisivat olleet vielä paljon suurempia, jollei eräs tutkija olisi löytänyt tappokytkintä, jolla haitakkeen leviäminen pysähtyi.

Tarkka leviämistekniikka on vieläkin epäselvä. Viestintäviraston tänään päivätty tiedote kertoo, että tällä hetkellä ei ole viitteitä siitä, että haittaohjelmaa olisi levitetty Microsoft Office -haavoittuvuuden tai haitallisten sähköpostien välityksellä. Kun edes Kyberturvallisuuskeskus ei tunnu tietävän yksityiskohtia, olemme suuren epätietoisuuden edessä, kuten kyberhyökkäyksissä niin usein ennenkin. Emme tiedä, mitä tapahtui saati kuka sen teki ja miksi. Epätietoisuus on vaarallista ja korostaa tietoturvan psykologista merkitystä.

Suomessa tapauksia tuli ilmi niin vähän, ettei niitä näy edes Wikipedian kartalla:

Pohjoismaista Suomi ja Islanti puhtaina.
Suomi pelastui, emmekä edes tiedä miksi. Itse asiassa Suomi ja Islanti ovat ainoat harmaat pohjoismaat Wikipedian kartalla, ja kehittyneistä länsimaista samaan yltävät vain Andorra, Sveitsi ja Irlanti.

Britannian NHS-terveydenhuolto on saanut kovaa kritiikkiä siitä, että kustannussyistä työasemissa käytetään edelleen XP:tä, johon ei aluksi ollut turvapäivitystä. Britannia on erikoistunut terrorismin torjuntaan ja maa on Euroopan johtava valvontayhteiskunta, mutta kotirintaman kyberturvallisuus on unohdettu lyhytnäköisten säästöjen vuoksi. Eiköhän tämä tapaus herätä brititkin.

Maailma selvisi Wannacry-iskusta melkeinpä säikähdyksellä. Vaikutus olisi voinut olla paljon pahempi. Toivottavasti viikonlopun tapahtumat panevat vauhtia niihin maihin, joissa kyberturvallisuuteen panostaminen on tähän asti nähty turhana kuluna.

Oma palomuuri kertoo yhteydenottojen 445-porttiin nousseen jyrkästi heti toukokuun ensimmäisellä viikolla.
445-portti vuoden alusta tähän päivään.
Viimeinen havaintopiste kattaa vain alun kuluneesta viikosta, joten todennäköisesti käyrä nousee viikon loppuun mennessä ennätyskorkealle.

sunnuntai 14. toukokuuta 2017

Microsoftin Euroviisut-ennuste osui lähes täydellisesti

Microsoft julkisti 9.5.2017 tiedotteen, jossa se ennusti Euroviisujen TOP 5-listan. Sen mukaan todennäköisimmät voittajat olivat Italia (18,0 % todennäköisyys), Ruotsi (16,8 %), Bulgaria (10,2 %), Belgia (9,0 %) ja Portugali (6,4 %).

Eilen järjestettyjen kilpailujen lopputulos oli Portugali, Bulgaria, Moldova, Belgia ja Ruotsi. Microsoftin ennuste, joka "käytti Cortanan edistynyttä data-analytiikkaa" onnistui loistavasti. Voittaja meni tosin pieleen, sillä Italia tuli kuudenneksi, mutta kärkiviisikosta se sai peräti neljä oikein -- vain Moldova yllätti tekoälyn.

Ihan yhtä hyvin ei pärjännyt Adoben sosiaalisesta mediasta laatima ennuste, jonka mukaan järjestys olisi ollut Belgia, Italia, Ranska, Kreikka, Britannia, Saksa, Irlanti, Australia, Sveitsi ja Bulgaria. TOP 5-listalla vain yksi meni oikein (Belgia). Yllättäen Adoben listalla ei ollut voittaja Portugalia lainkaan.

Microsoftin ennuste antoi Suomen edustajalle 4,9 prosentin todennäköisyyden, jolla se olisi sijoittunut kymmenen parhaan listalle. Valitettavasti se ennuste meni pahasti metsään. Jos Norma olisi selvinnyt finaaliin, sijoitus olisi voinut hyvinkin olla kymmenen joukossa, erottuihan kaunis ja rauhallinen biisi melukappaleista ihan samoin eväin kuin voittanut Portugali.

Microsoftin listalla vähiten pisteitä saivat Tsekki, Georgia, Unkari, Irlanti ja Slovenia. Tästä häntäpään viisikosta osui vain yksi (Ukraina). Voittajien ennustaminen on häviäjiä helpompaa, koska virhemarginaali hukuttaa heikot signaalit.

Microsoftin tulos on vaikuttava. Näin helppoa suurten tietomassojen kerääminen ja analysointi nykyään on. Onneksi edes Microsoft ei tiedä, ketä kukin meistä äänesti. 

lauantai 13. toukokuuta 2017

Wannacry on esimakua oikeasta kyberhyökkäyksestä

Perjantai-iltapäivänä maailmalle levitetty Wannacry-kiristysohjelma (viralliselta nimeltään Wana Decrypt0r 2.0) antaa esimakua tulevista kyberhyökkäyksistä. Näin helposti saadaan aikaan laajamittaista vahinkoa ja sairaaloissa jopa ihmishenget joutuvat vaaraan.

Tämä on ilmeisesti vain kyberrikollisten ovela kiristyskampanja, mutta entä jos samanaikaisesti levitettäisiin muitakin vastaavia hyökkäysohjelmia? Tai käytettäisiin aitoja nollapäiväaukkoja, joihin ei ole vielä korjauksia? Tai kyberhyökkäystä tuettaisiin oikeilla terrori-iskuilla? Tai... no, vain mielikuvitus on rajana.

Tällä hetkellä tiedetään, että kyseessä on varsin tavanomainen kiristysohjelma. Uutta on se, että kiristäjä hyödyntää NSA:n kyberaseen paljastamaa haavoittuvuutta ja leviää sisäverkossa itsenäisesti. Tarvitaan vain yksi varomaton työntekijä, joka avaa sähköpostin haitallisen liitteen, ja kaikki sisäverkon koneet voivat saastua.

Microsoft on korjannut aukon viime maaliskuun päivityksessä MS17-010. Aukko paikattiin kuukautta ennen kuin se tuli yleiseen tietoon huhtikuun 2017 Shadow Brokers -paljastuksen myötä ns. EternalBlue-haavoittuvuutena. Jos päivitykset ovat ajan tasalla, kiristäjä ei leviä uhrin konetta laajemmalle.

Kaikilla päivitykset eivät ole kunnossa: esimerkiksi brittien terveydenhuoltojärjestelmä on kokenut kovia, koska 90 % sen koneista on edelleen Windows XP -tasoa, jonka tuki loppui jo 8.4.2014 (yli kolme vuotta sitten). Pitäisiköhän olla EU-määräys, joka velvoittaisi myös britit huolehtimaan päivityksistä kriittisissä kohteissa? Luultavasti maanantaina siellä jaellaan potkuja kyberturvallisuudesta vastaaville tahoille. Terrorismi ei ole ainoa uhka kansalliselle turvallisuudelle eikä GCHQ:n verkkourkinta ainoa lääke.

Kiristäjä on iskenyt erityisesti Venäjälle, mistä voi päätellä jotain sen kotimaasta. Luultavasti ohjelmaa on levitetty aluksi paikallisiin sähköposteihin. Venäjä tiedetään kiristäjäohjelmien kotimaaksi, mutta monet aiemmat kiristäjät ovat tarkistaneet ensin maa-asetukset ja jättäneet venäläiset koneet rauhaan. Nyt isku osuu omaankin maahan, mikä toivottavasti saa vauhtia Kremlin ja paikallisen poliisin toimintaan.

Suomalaisista uhreista ei vielä näin lauantaiaamuna ole tietoja, mutta tekijät eivät ole unohtaneet meitäkään:
Kiristäjän kielivalikoimassa on myös suomi.
Tekijät vaativat 300 dollarin edestä bitcoineja (tuplahinta 15-19.5.2017 välisenä aikana), mikä on suhteellisen vähän. Aiemmat ohjelmat ovat vaatineet 1-3 bitcoinia, mikä tämänhetkisellä kurssilla tekisi 1500-4500 euroa. Ehkä alempi vaatimus saa useamman maksamaan. Katsoin, että erääseen ruutukuvassa näkyneeseen Bitcoin-osoitteeseen oli tehty 11 rahansiirtoa, yhteensä runsaan kahden Bitcoinin edestä (noin 3000 euroa). Tästä ei voi vielä päätellä paljoa, sillä tyypillisesti bitcoin-osoitteita generoidaan useita.

Jotain hyvääkin: nyt suomalaisilla organisaatioilla on tilaisuus pohtia ja harjoitella, miten olisi toimittu, jos perjantai-iltana alkanut kyberhyökkäys olisi osunut omaan yritykseen. Kenet hälytetään paikalle, kuka vastaa, kuka toimii, kuka tiedottaa?

Seuraavalla kerralla emme luultavasti pääse yhtä helpolla.

Ja yritykset hei: tiedottakaa työntekijöille ajoissa, etteivät avaa maanantaina töihin tullessaan MITÄÄN tiedostoliitettä! Inboxissa saattaa odottaa uinuvia pommeja.

torstai 11. toukokuuta 2017

Elisa menetteli väärin, mutta pilvi ei korvaa digiboksia

Jatkan vielä Elisaviihteen aikarajoituksesta, koska aihe on herättänyt niin paljon kiinnostusta.
Elisa on selvästikin toiminut asiassa huonosti. Kahden vuoden aikarajoitus on ollut tiedossa jo monta vuotta (ja mukana kilpailijan palvelussa alusta lähtien), mutta yhtiö ei ole tiedottanut siitä. Ehkä asiakaspakoa peläten se on jättänyt asiasta kertomisen viime tippaan, mikä on kohtuutonta, sillä kahden vuoden määräaikaisen sopimuksen vuoksi asiakas ei voi nyt äänestää jaloillaan. Toivottavasti kuluttajaviranomainen ottaa kantaa Elisan menettelyyn.

Asiakkaat kokevat nettitallennuksen pilveen siirrettynä digiboksina, mutta juridisesti käsitys on väärä. Tv-ohjelmia saa tallentaa omaan käyttöön, mutta työtä ei saa antaa toisen tehtäväksi eikä varsinkaan maksua vastaan. Elisaviihde ja vastaavat palvelut eivät ole henkilökohtaista tallentamista vaan ne katsotaan uudeksi jakelutavaksi, jota säädellään ns. sopimuslisenssi-järjestelmällä (TekL 26. pykälä). Siksi pilvitallennus tuli ylipäätään lailliseksi vasta tekijänoikeuslakiin tehdyllä muutoksella (TekL 25 L-pykälä, 22.5.2015).

Elisa on siis jo kahden vuoden ajan virallisesti tiennyt, että tallenteiden säilymistä tullaan rajoittamaan kahteen vuoteen, koska se on itse ollut neuvottelujen osapuolena. Tämä olisi pitänyt kertoa kuluttajille ennen kuin he uusivat määräaikaisia sopimuksiaan.

Asia oli selvä jo tammikuussa 2014, kun OKM järjesti asiasta keskustelutilaisuuden (kalvot pdf-muodossa):
Aikaraja oli tiedossa jo 21.1.2014
Säilymisrajoitus ja pakolliset mainokset alleviivaavat sitä, ettei pilvitallennus ole kotinauhoituksen korvike. Jos haluaa pysyviä tallenteita, ne täytyy tehdä kotona. Toivottavasti kuluttajajärjestöt pitävät huolta, että tämä mahdollisuus säilyy jatkossakin.

VHS-nauhuri löytyi aikoinaan joka kodista, mutta nykyään ajatus kotinauhoituksesta on yhtä vanhanaikainen kuin viisarikello. Tämän johtopäätöksen vedin nähtyäni Verkkokauppa.comin palautettujen boksien vuoren:
Eikö kukaan enää halua tallentavia digibokseja?
Netflix ja kumppanit ovat totuttaneet meidät siihen, että kaikki sisältö on saatavilla pilvestä napin painalluksella. Näin ei tietenkään ole; Netflixin oma valikoima on surkean rajoittunut ja maakohtainen. Kuluttaja voi olla kuningas, mutta oikeuksia myyvät TV- ja elokuvayhtiöt ovat kuningaskuntia. Ne sanelevat ehdot ja luovat illuusion rajattomasta valinnanvapaudesta, koska se myy. Todellista vapautta kuluttajalle ei voi olla. Laki antaa vallan tekijöille ja heidän edustajilleen.

Tekijä on oikeutensa ansainnut, mutta lait ja bisnesmallit on luotu aikana, jolloin sisältö oli niukkuushyödyke. Nyt tarjontaa on enemmän kuin kukaan ehtii kuluttaa, joten kuluttaja kokee rajoitukset epäoikeudenmukaisiksi. Ne eivät aja edes tekijöiden tai suomalaisten tv-kanavien etua. Vaikeuttamalla kansallisten palvelujen käyttöä asiakkaita siirretään suoraan Hollywoodin ja jenkkipalvelujen syliin. Se ei ole kenenkään etu.

Kotimaisten toimijoiden pitää noudattaa kansainvälistä tekijänoikeuslakeja, mutta kahden vuoden säilytysaika on sovittu vapaaehtoisesti. Miksi kotimaiset yrittäjät ampuvat itseään jalkaan silloinkin, kun siihen ei ole pakkoa?

Suomalaisten artistien, tuotantoyhtiöiden ja tv-kanavien uhkana ei ole kotitallennus eikä edes piratismi, vaan internetin mahdollistamat uudet bisnesmallit, jotka suosivat suuria toimijoita ja poistavat väliportaita. Tätä kehitystä ei kannattaisi nopeuttaa omilla päätöksillä.

Olen itsekin ärtynyt Elisan toiminnasta asiassa. Onneksi oma sopimukseni on katkolla jo joulukuun alussa. Maksan nyt 40 euroa kuukaudessa Elisaviihteestä eli lähes 500 euroa vuodessa. Tallentava, älykäs digiboksi maksaa itsensä nopeasti takaisin, eikä aseta rajoituksia jos haluan katsoa jonkin dokumentin myöhemmin uudestaan. (Täsmennys: pelkkä Elisa viihde maksaa 19,90 eur/kk, 39,90 eur/kk hinnassa on mukana surkea ADSL, josta voisin hyvin luopua koska käytän myös 4G-reititintä ja älypuhelimissa on vielä omat nettiliittymät).

Joskus vanha tekniikka on parempi kuin pussillinen uusia – tai ainakin täytyy nähdä, että tekniikat on tarkoitettu eri tilanteisiin.
=============
Muutama lisäys:

Elisa mainitsee sivullaan kahden vuoden säilytysajasta, mutta kehuu myös että "kun katsot tallennusta, voit hypätä helposti mainostaukojen ohi". Käsittääkseni samainen sopimus velvoittaa näyttämään mainokset -- jos ei tallennushetken, niin ainakin katseluajankohdan mukaisesti.

Miksi sitten yksityistä kopiointia ei saa teettää toisella maksua vastaan? Tekijänoikeusaineistossa on fyysisistä esineistä poikkeavia rajoituksia ymmärrettävistä syistä. Ilman niitä voisi perustaa esim. CD-levyvuokraamon, jonka omistaja ostaisi yhden levyn ja vuokraisi sitä sitten esim. 5 euroa/vrk asiakkaille, jotka ehtisivät ottaa siitä nopeasti oman kopion (ihan laillisesti). Vastaavasti maksullinen kirjavuokraamo olisi hyvä bisnesmalli yrittäjälle mutta tuhoisa kustantajaille ja kirjailijoille.

Valtaosa digibokseista on yhtä suljettuja kuin Elisa viihdekin, tallenteita ei saa niistä ulos. Ohjelmat häviävät kun levy hajoaa. Televisioiden usb-porteista tallennus on mahdollista, mutta tikku tai usb-levy on alustettava niin, ettei tiedostoa voi siirtää ulos eikä katsella toisella telkkarilla. Katsojan kädet pyritään sitomaan kaikin tavoin ja tekemään tallennuksesta vain ajansiirtoa.

TekL 25 L-pykälässä sanotaan että "ohjelma on tallennuspalvelun asiakkaan katseltavissa ja kuunneltavissa asiakkaan itse valitsemassa paikassa ja itse valitsemana aikana". Tämähän ei toteudu kirjaimellisesti, sillä palvelujen käyttö on yleensä estetty ulkomailta. Expatit ja turistit voivat vain harmitella, kun eivät pääse katsomaan ohjelmia ilman kikkailuja.

Todennäköisesti osa käyttäjistä irtisanoo sopimuksensa Elisan kanssa, jolloin Kopioston perimät asiakaskohtaiset tulot laskevat (kts. Kopioston hinnasto). Vaikea nähdä, että tekijät tai alan kotimaiset toimijat voittaisivat tässä jotain. 

Microsoftin demossa kamerat ja tekoäly vartioivat rakennustyömaan turvallisuutta - onko tämä tuleva Skynet?

Microsoftin Build-kehittäjäseminaarissa nähtiin eilen kiinnostava demo. Se osoittaa konkreettisesti, miten pitkälle hahmontunnistus ja tekoäly ovat kehittyneet.

Demon voi katsoa Youtubessa. Jos suora linkki videoon sotkee ääniraidan, ääni ei täsmää kuvaan, joten kelaa hiirellä kohtaan 31 min 40 sekuntia. Silloin videossa kuvataan sairaalaa, jossa kamerat tarkkailevat potilaita ja ilmoittavat, mikäli sydänleikkauksesta toipuva henkilö kävelee liian paljon. Järjestelmä hälyttää sairaanhoitajan ja paikantaa lähimmän pyörätuolin. Sen jälkeen näytetään rakennustyömaata, jossa tekoäly tunnistaa työturvallisuutta vaarantavia tekijöitä.

Lavalla tehty lyhyt demo on vielä vaikuttavampi. Se alkaa kohdassa 33 minuuttia 40 sekuntia. Tässä demossa kamerat suorittavat 27 miljoonaa hahmontunnistusta sekunnissa ja erottelevat kuvasta niin henkilöt kuin työkalutkin:
Työmaa tekoälyn kameravalvonnassa.
Demossa lisätään juuri aloittanut työntekijä sallittujen henkilöiden listalla kirjoittamalla ohjeet puhelimen näppäimistöltä sekä luodaan sääntö, joka hälyttää vaarallisen työkalun asiattomasta käytöstä:
Tekoäly hälyttää, kun työkalun kanssa pelleillään.
Demot ovat demoja, mutta esitys on varsin vakuuttava osoitus tekoälyn mahdollisuuksista. On tietenkin hienoa, että käytetään työmaan turvallisuuden parantamiseen, mutta ikävästi nousee mieleen myös muita mahdollisuuksia: samaa kameravalvontaa voitaisiin käyttää kokonaisten kaupunkien valvontaan. Kamera tunnistaa ihmiset, esineet ja tapahtumat, ja käynnistää toimenpiteitä ohjelmoidusti. "Policy violation: visitor using jackhammer in construction yard" voisi tarkoittaa jotain muutakin.

Skynet, anyone?

Linkkien osoitteet päivitetty 21.5.2017

keskiviikko 10. toukokuuta 2017

Netflixiä vastaan ei kilpailla heikennetyillä palveluilla

Uutinen kertoo Elisan ilmoittaneen Viihde-palvelunsa heikentämisestä: jatkossa tallennukset säilyvät enintään kahden vuoden ajan. Ilmeisesti myös niiden katselu keskeytyy ajoittain uusiin mainoksiin, joten vanhoja mainoksia ei voi enää ohittaa hiirtä napsauttamalla.

Muutos on herättänyt ärtymystä asiakkaissa ("raivoa", kuten otsikointi nykyään edellyttää), joihin itsekin lukeudun. Syynä on kuitenkin sopimus, jonka operaattorit tekivät tv-kanavien kanssa. Ilman sopimusta edessä olisi ollut oikeudenkäyntejä TVkaistan tapaan (jonka hovikäsittely päättyi Vapun alla, tuomio luvassa kesällä). Asian ei pitäisi tulla yllätyksenä, sillä sopimusneuvotteluista on uutisoitu jo vuosia sitten ja olen kirjoittanut aiheesta itsekin.

Tallennusten rajoittaminen kahteen vuoteen on outo sopimusehto, koska sillä ei ole mitään tekemistä tekijänoikeuksien kannalta. Korkeintaan se on muisto ajoilta, jolloin tv oli vielä niukkuushyödyke -- silloin ajateltiin, että katsojalle kotinauhoituksesta kertyvä arkisto on jonkinlainen lisäpalvelu, josta pitää maksaa kasettimaksun (myöh. hyvitysmaksu) muodossa.

Rajattoman tarjonnan aikakaudella vanhoilla tallennuksilla ei ole tekijänoikeudellista merkitystä. Kukaan ei ehdi katsoa kaikkea tallentamaansa, saati että samojen ohjelmien katselu useaan kertaan olisi jokin menetys oikeudenhaltijoille.

Elisaviihteen kaltaisista palveluista on tullut pilvessä toimiva ajansiirtolaite, jonka vanhoilla tallenteilla on korkeintaan muistoarvoa. Luultavasti operaattorit ovat salaa tyytyväisiä aikarajoituksesta, koska se säästää heiltä levytilaa.

Netflixiä ja kansainvälisiä toimijoita vastaan ei kuitenkaan kilpailla omia palveluita tahallisesti huonontamalla. Pitkä säilytysaika on sitonut asiakkaat palveluun ja saanut heidät maksamaan kuukausimaksua. Tällaisena järjestely pikemminkin hyödyttää kotimaista kenttää kuin syö jonkin yhtiön oikeutettuja tekijänoikeustuloja.

Itselläni vanhimmat tallennukset ovat viiden vuoden takaa ja joukossa on sellaisia, joita en ole katsonut vielä kertaakaan (434 katsomatta yhteensä 649 tallenteesta).
Mitä vikaa on näiden säilyttämisestä pilvessä?
Vanhimmat tallenteeni ovat dokumentteja, joiden arkistointi pilvessä ei tuota mitään menetystä yhdellekään oikeudenhaltijalle.

Olisi kohtuullista voida siirtää vanhat nauhoitukset omalle levylle, mutta sekin on sopimusteknisistä syistä kielletty. Kiitos vain palvelusta tässäkin.

Haluaisin säilyttää joitakin dokumentteja ja henkilökohtaisesti tärkeitä ohjelmia pysyvästi, ihan niin kuin 90-luvulla VHS-nauhureilla tehtiin. Nykyinen tekniikka kieltää sen. Kaikissa uusissa palveluissa katsojan kädet sidotaan eikä pysyviä tallennuksia sallita. Digitekniikka on parantanut kuvanlaatua mutta vähentänyt katsojan oikeuksia.

Onneksi antenniverkon lähetyksiä voi vielä tallentaa omalle levylle vanhemmalla tekniikalla. Tämäkin ovi luultavasti suljetaan parin vuoden päästä, kun kaikki kanavat siirtyvät salattuihin teräväpiirtolähetyksiin.

Pilvipalvelut ovat mukavia, mutta asiakkaan kannalta ne voivat olla ansa.

maanantai 1. toukokuuta 2017

Anna ihmettelee: vakoileeko Instagram käyttäjäänsä?

Anna-lehdessä on kiinnostava juttu liittyen nettipalvelujen yksityisyyteen (joo, sitä ei ole, mutta kuitenkin):
Vakoileeko Instagram minua?
Teksti löytyy myös verkosta. Tässä lyhyt versio tapahtuneesta: toimittaja oli käynyt Verkkokauppa.com myymälässä Helsingin Jätkäsaaressa ja ottanut kuvan astianpesukoneen tuotetiedoista. Kuva oli tallentunut iPhoneen muiden valokuvien joukkoon, eikä hän jakanut sitä someen.

Siksi yllätys olikin suuri, kun Instagramin kuvavirtaan ilmestyi seuraavana päivänä kilpailevan kodinkoneketjun mainos lähes samasta koneesta: "Etkö tehnyt tilausta vielä? Muista 30 päivän tyytyväisyystakuu ja nopea nettitoimitus".

Kun toimittaja juttua tehdessään soitti minulle, kävin kokeilemassa asiaa. Otin kuvia sekä Verkkokauppa.comin että paikallisen Prisman kodinkoneista, niin Android- kuin iPhone-puhelimellakin. Siis tällaisia:
Riittääkö tällainen valokuva ohjaamaan mainosnäyttöjä?
Pettymyksekseni mitään ei tapahtunut. Instagramin mainokset olivat ihan entisellään, eivätkä tyrkyttäneet mitään kodinkonetta minulle.

Todennäköisin selitys on psykologinen. Mainoksia virtaa silmien editse satoja päivässä, emmekä yleensä kiinnitä niihin huomiota. Sattuman oikusta erityisen sopiva mainos havahduttaa ja saa epäilemään, että puhelin vakoilee meitä.

Toinen selitys voisi olla siinä, että jokin puhelimen ohjelmista seuraa sijainti- tai wlan-verkkojen SSID-nimien perusteella missä käyttäjä liikkuu ja välittää tätä tietoa mainostajille. Silti ei uskoisi Instagramin (joka on nykyään osa Facebookia) käyttävän tällaisia tietoja ilman lupaa, sillä asian paljastuminen olisi PR-katastrofi.

Viimeinen selitys on, että jokin sovelluksista analysoi puhelimen ottamia kuvia. Esimerkiksi yllä olevasta kuvasta on helppo poimia tuotteen nimi ja tyyppikoodi, ja välittää se mainostajille. Tällaista tekniikkaa käytetään jo monissa sovelluksissa, lisää voi lukea vaikka Googlen blogista.

Mutta jos näin tapahtuu, miksi 99 % mainoksista on valittu niin typerästi? Ne ovat joko aivan metsässä tai sitten tyrkyttävät edelleen sitä samaa pesukonetta, jota katselin nettisivulla kolme kuukautta sitten ja jonka lopulta ostinkin.

Toimittaja ei ole kokemuksineen yksin. Vähän väliä joku kertoo Facebookin mainosten reagoineen asioihin, joista on puhuttu lähistöllä. Nämä tapaukset ovat kuin vanhat ufo-havainnot: niistä kerrotaan ja ihmetellään, mutta kukaan ei pysty toistamaan ilmiötä. Todisteiden puuttuessa puheeseen reagoivat Facebook-mainokset ovat kuin lentäviä lautasia. Kaikki jää kuulopuheen varaan.

Ehkä vielä joskus saamme tietää, kokeilevatko mainostajat salaa uusia urkintatekniikoita, vai onko tämä kaikki pelkkää psykologiaa.

Oletko itse nähnyt epäilyttävän hyvin osuvia netti- tai sovellusmainoksia? 

sunnuntai 30. huhtikuuta 2017

Die Hard 4 oli edellä aikaansa

Eilen televisiossa esitetty Die Hard 4 -elokuva oli ilmestyessään kesäkuussa 2007 edellä aikaansa. Kymmenen vuotta myöhemmin siinä esitetyt uhkakuvat ja hyökkäykset otetaan vakavasti. Elokuvantekijöiden juonta pohtivat nyt viranomaiset ja sotilaat. Fiktion uhkakuvista on tullut todellisia.

Bruce Willis esittää tapansa mukaan rehtiä ja kovaksi keitettyä New Yorkin poliisia, joka saa tehtäväkseen hakea hakkerin poliisikuulusteluihin. Hakkeri joutuu kuitenkin iskuryhmän maalitauluksi ja Willis saa vietyä hänet Washingtoniin juuri kun hyökkäys maan tietoverkkoja infrastruktuuria vastaan alkaa.

Elokuvan jälkipuolisko on perinteistä actionia, mutta alkupuolisko on kuin videoversio siitä, millaiseksi laajamittainen kyberhyökkäys tällä hetkellä kuvitellaan. Kymmenen vuotta sitten terminologia oli toinen, eikä kyberturvallisuuden käsite ollut vielä yleisesti tunnettu:
"Tämä on virtuaaliterrorismia."
Hakkeri toteaa jotain, mikä pitää paikkansa tänäkin päivänä:
"Kirjoitin pikku palan koodia ja maailma hajoaa."
Ohjelmoijilla on vastuu koodistaan, etenkin jos se päätyy vääriin käsiin. Ja kun hyökkäys alkaa, mikään ei toimi:
Kolmivaiheinen firesale.
Elokuvassa käytetään erikoista termiä tulipaloale (firesale) kuvaamaan tilannetta, jossa kolmivaiheinen hyökkäys lamauttaa yhteiskunnan toiminnan: ensin suljetaan liikennejärjestelmät (valot, rautatiet, maanalainen, lentokentät), sitten syöstään talous kaaokseen (pörssiromahdus) ja lopuksi katkaistaan peruspalvelut (sähkö, kaasu, viestintä).

Tänään langattomien puhelin- ja wlan-verkkojen alasajo olisi vielä vakavampaa kuin kymmenen vuotta sitten:
Langattomat verkot lamautetaan.
Viranomaisten johtopäätös tilanteesta on yksinkertainen: "Kimppuumme on hyökätty".
Kyberhyökkäys.
Elokuva näyttää havainnollisesti, mitä vahinkoa infrastruktuurille on mahdollista tehdä. Esimerkiksi kaikkien liikennevalojen kytkeminen vihreiksi tukki risteykset kolareilla, mikä ajaa liikenteen kaaokseen.
"Kaikki valot ovat vihreällä."
Toisessa kohtauksessa hyökkääjät avaavat autotunnelin portit molemmista päistä samanaikaisesti ja sammuttavat valot, jolloin autot törmäävät toisiinsa.

Elokuvassa on mukana myös hybridisota ja informaatiovaikuttaminen. Kansaa pelotellaan syöttämällä televisioiden kautta viesti, joka on koottu aiempien presidenttien puheista leikkaa-ja-liimaa tekniikalla aivan kuten lunnasvaatimukset. Kerrotaan, että oikeiden pätkien löytäminen vaati tekijöiltä neljän kuukauden työn, mutta lopputulos on kiistatta pelottava:
Infosotaa Die Hardin tapaan.
Väärennetty video kongressitalon räjäyttämisestä kylvää katsojiin epävarmuutta siitä, mikä on totta ja mikä ei. Temppu toimisi tänäänkin. Olemme yhä enemmän niiden kuvien varassa, joita media välittää.

Oivaltava on myös esimerkki, jossa pääpahis yrittää kiristää McClanea lukemalla tämän henkilökohtaisia tietoja ja nollaamalla eläkesäästöt:
Identiteettivarkaus ja tietojen nollaaminen.
Elokuvan ensi-ilta oli kesäkuussa 2007, jolloin Nokia oli mobiilimaailman ylivoimainen ykkönen. Kukapa olisi arvannut, että alkuvuodesta julkistettu Applen iPhone mullistaisi pian markkinat ja lopulta Nokia kaatuisi.
Nokia Communicator pelastaa maailman.
Elokuvaa katsomalla me suomalaiset voimme vielä muistella aikaa, jolloin maailman pelastamiseen käytettiin Nokia Communicatoria. Se lämmittää erityisesti näin Suomi 100 -juhlavuonna.

perjantai 28. huhtikuuta 2017

Onecoinissa alkoivat lopun ajat

Onecoinissa näyttää koittaneen lopun ajat. Ainakin Intiassa, Italiassa, Thaimaassa, Norjassa ja Saksassa viranomaiset ovat ryhtyneet toimiin verkoston pysäyttämiseksi. Suomen viranomaiset ovat hiljaa. KRP:n tiedote marraskuussa 2015 päätyi vain odottavalle kannalle ja yleiseen kehotukseen olla varovainen, minkä verkosto tulkitsi suorastaan poliisin luvaksi jatkaa toimintaa. Mikään lupauksista ei ole toteutunut, mutta silti KRP on pysytellyt hiljaa.

Yhtä hiljaa on ollut Finanssivalvonta, jonka pitäisi valvoa sijoituspalvelujen myyntiä. Olkoonkin, että tässä ei ole kyse ammattimaisesta toiminnasta vaan verkostosta, on käsittämätöntä että toiminta on voinut jatkua yli kaksi vuotta kenenkään puuttumatta asiaan. Toiminnan todellinen luonne on selvitetty blogeissa ja Murobbs-keskusteluissa.

Saksan Finanssivalvonta BaFin on toiminut ja kielsi eilen Onecoin toiminnan: https://www.bafin.de/SharedDocs/Veroeffentlichungen/EN/Verbrauchermitteilung/unerlaubte/2017/vm_170427_Onecoin_Ltd_en.html.

Saksalaisten esimerkin valossa suomalaisten passiivisuus on käsittämätöntä, ovathan eräät verkoston avainhenkilöt suomalaisia.

Wincapitassa oli noin 12 000 jäsentä ja siihen laitettu rahamäärä noin 100 miljoonaa euroa. Onecoinin oman ilmoituksen mukaan suomalaisia on mukana lähes kolminkertainen määrä. Rahamäärää voi vain arvailla. Tässä uutisessa mainittu henkilö sijoitti 30 000 euroa.

Maajohtaja Tommi Vuorinen Radio Rock 15.6.2015
Entinen maajohtaja Tommi Vuorinen torjui jyrkästi kaikki vihjaukset pyramidista, kuten tässä Radio Rockin haastattelussa 15.6.2015 sekä Jyväskylän videoidussa markkinointitilaisuudessa:

"Ihan turha selittää mulle että tää on pyramidihuijaus!"
Harmi, ettei Vuorinen enää vastaa medialle -- maajohtajana hän vakuutti että "Me emme sitten ole minkään valtakunnan huijauksessa mukana millään tasolla".
"Emme sitten ole minkään valtakunnan huijauksessa mukana millään tasolla".
"Tulee vielä päivä, jolloin kansa kiittää, että meillä oli Tommi Vuorinen", hehkutti Kari Wahlroos Tampereella 3.9.2016. Itse hän kertoi olevansa aina onnellinen ja hyväntuulinen, koska "mulla on elämä kauheen mukavasti". Voi valita aamulla, lähteekö Ferrarilla vai Lamborghinilla ja päättää, mihin asuntoon menee.

"Koirat haukkuu ja karavaani kulkee", sanovat nimettömyyden taakse piiloutuvat Onecoin-uskovaiset. Kohta haukkuu joku muu ja karavaani pysähtyy. Wincapita romahti 10 vuotta sitten ja sen jälkipyykkiä pestään edelleen, yli 10 000 oikeusistunnon jälkeen. Onecoin lienee paketoitu joskus vuoden 2027 tienoilla -- ja silloinkin vielä riittää niitä, joiden mielestä kryptovaluutta oli todellinen, mutta viranomaiset eivät antaneet sille mahdollisuutta menestyä.

maanantai 24. huhtikuuta 2017

Tohelot terroristit, Whatsapp ja tiedustelulaki

Helsingin Sanomien pääkirjoitus Halutaanko tiedustelulle lisää valtuuksia, kun terroristi oppii käyttämään Whatsappia? antaa kärjistetyn kuvan verkkotiedustelun hyödyttömyydestä. Kyse ei ole asia-artikkelista vaan näkemyksestä, mutta siinäkään ei saa vääristellä faktoja.

Oppiiko terroristi käyttämään Whatsappia?
Alaotsikon mukaan kiinni jää vain toheloin terroristi, joka lähettelee suunnitelmiaan sähköpostilla.

Verkkotiedustelu ei rajoitu sähköpostiin, vaan kattaa kaikki sähköisen viestinnän muodot: lankapuhelut, kännykkäpuhelut, tekstiviestit, nettisurffailun -- ja tietenkin ne sähköpostit. Terroristit eivät ole mitään ruudinkeksijöitä, muutenhan heistä ei olisi tullut terroristeja. Silti hekin tietävät verkkourkinnan helppouden eivätkä varmasti välitä suunnitelmia salaamattomassa sähköpostissa.

Sähköistä viestintää on nykyään mahdoton välttää. Jokainen meistä soittelee yhä puhelimella ja lähettää tekstareita, vaikka salattujakin sovelluksia on olemassa. Salatustakin liikenteestä (esim. https-surffaus ja mobiilisovellusten oma liikenne) näkyvät osapuolet, viestinnän volyymi ja ajankohdat, joista voi päätellä paljon. Tiedustelu ei ole sähköpostien lukemista vaan kokonaiskuvan rakentamista: sen avulla nähdään epäilyttävän henkilön verkostot ja suhteet.

Tätäkään kuvaa ei luoda siten kuin kirjoitus maalailee: "Puolustusvoimat saa digitaalisen haavin, jonka läpi pannaan kulkemaan suomalaisten verkkoliikennettä – selfiet ja ­ostoslistat jatkavat matkaa, pahisten viestit tutkitaan tarkemmin". Lakiehdotuksen mukaan epäilyn pitää olla jo olemassa ennen kuin tiedustelulakia voidaan soveltaa. Tekstissä mainittu "haavi auki" viittaa NSA:n kaltaiseen verkon seulontaan, jota myös massavalvonnaksi kutsutaan.

Kirjoitus väittää että Vaikeudet alkavat heti, kun terroristit oppivat käyttämään Whatsappia, Signalia tai muuta salakirjoittavaa viestintäkanavaa. Tietenkin terroristit (ja muut uhkat, joita vastaan laki on suunnattu) osaavat salata viestintänsä jo nyt. Suurin muutos on siinä, että amerikkalaisten nettijättien salatut palvelut (iMessage, Whatsapp, Skype ym) omivat yhä enemmän liikenteestä, joka aiemmin kulki suomalaisten operaattorien verkossa. Silloin Suomen tiedonsaanti on yhteistyön varassa. Mitä enemmän suomalaisilla on tarjota tietoa amerikkalaisille, sitä paremmin saamme tietoa itsekin.

Ylipäätään tiedustelu ei ole uhkaavien viestien kalastelua digitaalisella haavilla, vaan tilannekuvan luomista. Usein tuo kuva on epämääräinen ja joskus vääräkin. Kannattaa lukea CIA-johtajan George Tenetin muistelmat, sillä hän kuvaa hyvin tiedustelun antamia epävarmoja signaaleita.

Yhdessä asiassa kirjoitus on kuitenkin "spot-on": poliisin valvonta on aiemmin pettänyt surkeasti. Tiedustelulaissa asiaan on kiinnitetty huomiota, mutta vasta aika näyttää, miten valvonta tulee käytännössä toimimaan. Ihminen on aina järjestelmän heikoin lenkki -- ja sellaiset niin poliisit kuin armeijan väki tulee olemaan jatkossakin.

torstai 20. huhtikuuta 2017

Tiedustelulaki on aika kesy, mutta...

Pari vuotta odotettu ja pelätty ehdotus tiedustelulaiksi julkaistiin eilen. Teksti ei näytä ollenkaan pahalta verrattuna niihin kauhukuviin, joilla etukäteen peloteltiin: takaportti viranomaisille, massavalvonta kaikille, yksityisyyden loppu ja niin edelleen. Suoraan sanoen laki on yllättävänkin kesy -- sillä on kaiketi haluttu varmistaa, että pykälät voidaan hyväksyä nopeutetussa järjestyksessä ja näin saada toiminta käyntiin nopeasti.

Pohjimmiltaan tiedustelulaki on kuin turvallisuuden digitalisaatio. Sotilastiedustelu ja uhkiin varautuminen on jäänyt viime vuosituhannelle, nyt on pakko saattaa keinot digiaikaan. Tietenkin se vaatii puuttumista perustuslakiin, mutta eivät perusoikeuden nytkään ole absoluuttisia. Kaikissa niissä on jo rajoituksia.

Poliitikot vetoavat siihen, että toimintaympäristö on äkillisesti muuttunut Krimin tapahtumien ja terrorismin vuoksi. Ei ole. Muutos on ollut käynnissä jo 1990-luvulta lähtien. Viime kuukausien kuorma-autoiskut pikemminkin vähentävät lain tarvetta kuin lisäävät sitä. Tarve on paljon vanhempi.

Omat poliitikkomme ovat ummistaneet kehitykseltä silmänsä, mutta ruotsalaiset eivät. He esittelivät FRA-urkintalain maaliskuussa 2007 eli lähes tarkalleen 10 vuotta sitten. Tuloksena oli kiivas väittely siitä, onko Ruotsi muuttumassa valvontayhteiskunnaksi ja onko laki ylipäätänsä tarpeen. Keskustelun vuoksi lain säätämisessä otettiin aikalisä ja lakia lievennettiin. Siitä huolimatta se hyväksyttiin lopulta vain muutaman äänen enemmistöllä vuonna 2009.

Sen jälkeen Ruotsista ei ole kuulunut mitään. Ilmeisesti kaikki ovat olleet tyytyväisiä - ainakin jos pitää paikkansa, että pari terrori-iskua on urkinnan ansiosta saatu estettyä. Eniten ovat valittaneet suomalaiset poliitikot, joiden mielestä Ruotsin tapa seurata meidän ulkomaanliikennettämme oli sietämätöntä. Teliasonera siirsi jopa suomalaisten asiakkaiden sähköpostipalvelimet Suomen puolelle, jotta ne eivät joutuisi valvonnan piiriin. Nyt samat poliitikot toteavat, että Suomen olisi pitänyt hoitaa oma lakinsa kuntoon jo pari vaalikautta sitten.

Ei, tiedustelulaki ei tee Suomesta valvontayhteiskuntaa, mutta on siinä silti omat riskinsä. Kun valvonnan tekniikka kerran asennetaan ja prosessit tiedonhankintaa varten luodaan, kynnys niiden käyttöön saattaa jatkossa alentua. Näin on käynyt muunkin teknisen valvonnan suhteen. Supo ja PV saattavat suorastaan laskea tämän varaan ja siksi lain ensimmäinen versio on melko lievä.

Toinen uhka liittyy ihmisiin. Supon ja tavallisen poliisin henkilökuntaa on päätynyt otsikoihin epäsopivasta tai suorastaan rikollisesta toiminnasta. Rekisterien käyttö ja valvonta on ollut lepsua. Kuka tahansa työntekijä saattaa taipua painostuksen tai kiristyksen edessä. Siksi on tärkeää, ettei kukaan työntekijä pääse yksin hankkimaan tiedustelutietoja ja että valvonta on riittävää.

Nykyinen tilanne, jossa Suomi on luottanut tiedustelussa Ruotsin veljesapuun, on alentava ja kestämätön. Ihan oikeasti kestämätön siksi, että keväällä 2016 valmistunut datakaapeli Saksaan ohittaa Ruotsin FRA-valvonnan, joten ruotsalaiset eivät enää pysty auttamaan vaikka haluaisivat. Tiedustelu on pakko ottaa omiin käsiin.

Laki kieltäisi seuraamasta toimittajan, papin, lääkärin ja asianajajan viestintää. Kaksi jälkimmäistä vaativat tutkinnon, mutta kuka lasketaan toimittajaksi? Bloggaajalla on lähdesuoja, joten eikö häntäkään saa seurata? Tulee mieleen erinäisiä desantteja, jotka bloggaamalla saisivat toimia jatkossakin vapaasti.

Pappeus on vähintään yhtä hankala käsite. Tarkoittaako se vain luterilaisen kirkon pappeja? Entä erilaisten lahkojen yms. (vaikka kopiointiin ja lentävään spagettihirviöön uskovat?). Imaameista puhumattakaan.

Tiedustelulaki ei ole ongelmaton, mutta se on välttämätön askel koko yhteiskunnan digitalisaation tiellä. Luultavasti mekin kuljemme Ruotsin tietä: kun julkinen keskustelu laantuu ja laki hyväksytään, kukaan ei enää muistakaan koko asiaa. Kunhan poliitikot pysyvät jatkossa paremmin hereillä ja valvonta osoittautuu toimivaksi, nukun yöni jatkossa paremmin kuin tähän asti.

tiistai 18. huhtikuuta 2017

Älä vaihda turhaan - salasanat ovat psykologiaa, ei tekniikkaa

Jokaisessa tietoturvakoulutuksessa annetaan ohjeita salasanojen käyttöön. Yleensä ohjeet ovat peräisin 1980-luvulta eivätkä toimi tämän päivän maailmassa. Kun ainoa muistettava salasana oli yrityksen keskustietokoneelle, sitä ei saanut kirjoittaa muistiin eikä varsinkaan jemmata näppäimistön alle, ja sitä piti vaihtaa säännöllisesti.

Tänään salasanoja on kymmenittäin, joten vanhojen ohjeiden noudattaminen on mahdotonta. Monet järjestelmät vaativat käyttäjää keksimään uuden salasanan 30 tai 60 päivän välein, eivätkä hyväksy jo aiemmin käytössä ollutta salasanaa. On siinä käyttäjäparalla miettimistä: uusi, vahva salasana kuukauden välein, ja kaikki pitäisi muistaa ulkoa!

Tietoturvan keskeinen periaate mukavuus kertaa turvallisuus on vakio sanoo, ettei turvallisuutta voi parantaa pelkästään käyttömukavuudesta tinkimällä. Liian korkeat vaatimukset kääntyvät tarkoitustaan vastaan. Pidempi salasana ei välttämättä ole lyhyttä parempi eikä tiheämpi vaihtoväli ole pitkää parempi.

Salasanat eivät ole tekniikkaa vaan psykologiaa.

Salasanan vaihtopakolle on yksinkertainen perustelu: hakkeri voi saada salasanan selville ja olla sisällä järjestelmässä pitkään, ennen kuin asia paljastuu. Salasanan pakollinen vaihto heittää mahdollisen tunkeutujan ulos, joten tehdään se varmuuden vuoksi säännöllisin väliajoin.

Näin sanoo teoria. Käytäntö on vähän toinen. Jos salasanaa vaihdetaan 60 päivän välein, hakkerilla on keskimäärin 30 päivää aikaa. Siinä ajassa hän ehtii imuroida kaiken tarpeellisen. Itse asiassa jo muutama tunti riittää sillanpääaseman hankkimiseen kohdejärjestelmässä.

Jotta vaihtopakko olisi tehokas, salasanaa pitäisi vaihtaa päivittäin. Eikä sekään auta, sillä jo muutamassa tunnissa hakkeri ehtii urkkia sisäverkon liikennettä, kaapata muiden käyttäjien tunnuksia ja asentaa vaikka näppäimistökaapparin, joka tekee kaikki tulevat salasanavaihdot hyödyttömiksi.

Katso-tunnuksen salasana on vaihdettava puolen vuoden välein.
Erityisen turhaa on lähteä vaihtamaan säännöllisesti ja ennaltaehkäisevästi henkilökohtaisten nettipalvelujen salasanoja. Liian tiheä vaihtaminen vaikeuttaa salasanojen hallintaa ja houkuttelee valitsemaan huonoja salasanoja, jotka ovat paljon suurempi riski. Lisäksi jokaisen vaihdon myötä unohtamisen riski kasvaa. Pahimmassa tapauksessa on käytettävä turvakysymystä tai muuta hätäjärjestelyä, jos esimerkiksi aikoinaan annettu sähköpostiosoite ei enää toimi.

Henkilökohtaisia salasanoja kannattaa vaihtaa vain kun niiden tiedetään paljastuneen. Omista salasanoistani muutama on pysynyt samana yli 20 vuotta.

Yrityksen tietojärjestelmissä vaihtopakolle ei voi mitään, mutta tietohallinnon tulisi säätää vaihtovälit ja vaatimukset järkeviksi.

Kirjoitin aiheesta blogiin nähtyäni Kanta-järjestelmän ylläpitäjien salasanaohjeen: minimipituus kahdeksan merkkiä, pitää olla erikoismerkkejä, numeroita sekä isoja/pieniä kirjaimia, järjestelmä muistaa vähintään 12 aiempaa salasanaa eikä hyväksy niitä uudelleen, vaihtopakko 40 päivän välein, minimi-ikä yksi päivä. Viiden väärän yrityksen jälkeen tili menee lukkoon.

On siinä käyttäjillä muistamista ja päänvaivaa salasanojen keksimisessä!

maanantai 17. huhtikuuta 2017

Wincapita ja Onecoin - deja vu

Lukiessani vanhaa Ylen MOT-käsikirjoitusta Wincapitasta syntyi déjà-vu tunne: olen kuullut tämän ennenkin. Sattumaa tai ei, Wincapitalla ja Onecoinilla on paljon yhteistä.

Wincapitan juuret olivat Tampereella ja ns. vyölaukkumiehen tunnettu esittelyvideo on tallennettu tamperelaisessa hotellissa. Tampereelta ovat myös monet suomalaiset Onecoin-avainhenkilöt, samoin hotelleissa kuvatut videot.

Jostain syystä sekä Wincapita että Onecoin ovat saaneet paljon jalansijaa Pohjanmaalla. Molemmissa tapauksissa miljoonia ansainneet avainhenkilöt ovat siirtyneet Pattayalle tai asuneet siellä alusta lähtien. Myös Aurinkorannikko on hyvin edustettuna, Kailajärven virallinen osoite Wincapitan aikaan oli Marbellassa.

MOT:n sivu Wincapitan vuodet 2003-2014 sanoo: "Kailajärven sijoituskerhoa Wincapitaa on kuvattu eräänlaiseksi pankiksi, jossa Kailajärvi valtiollisen keskuspankin tavoin laski liikkeelle valuuttaa. Jäsenet, jotka ovat vilpittömässä mielessä tehneet lisenssi-, osuus- tai muuta kauppaa, eivät ole ymmärtäneet, että Kailajärven luoma yksityinen raha ei ole ollut todellista vaan leikkirahaa." Wincapitan paikalle voisi yhtä hyvin kirjoittaa Onecoin.

Toimittaja Marko Niemen kertomukset painostuksesta ja suoranaisesta uhkailusta ovat nekin tuttuja Onecoinista. Samoin "Julkisuudessa Wincapitan jäsenistä äänessä ovat olleet lähinnä ne, jotka ehtivät kotiuttaa pyramidista satojatuhansia euroja" -- aivan kuin Onecoinissa. Verkossa onecoinistit kertovat ostamistaan autoista ja valtavista tuotoista.

Varsinaisessa MOT-käsikirjoituksessa Jouni Laiho sanoo: "Ja loppuvaiheessa, ehkä vielä tänä päivänäkin, siihen näyttää liittyvän tämmöisiä uskonnollisen kaltaisia piirteitä". Tämäkin voisi olla suoraan Onecoinista.

Oikeudenkäynnissä puolustus vetosi siihen, että jos klubin jäsenet lupasivatkin suuria tuottoja värväämilleen jäsenille, he toimivat omin päin, eikä Kailajärvi itse luvannut tulevaa arvonnousua. Samoin menettelee Onecoin: virallisesti ei luvata mitään, mutta kalvoilla näytetään kuitenkin eksponentiaalisesti nousevia arvokäyriä ja maajohtaja lupaa osallistujien "olevan vuodessa taloudellisesti riippumattomia".

Wincapita-kirjassa sanotaan "...kymmenet jäsenet olivat häneltäkin [komisario Tapio Kalliokoski] tiedustelleet WinCapitan toiminnan laillisuutta syksyllä 2007. Siinä vaiheessa ei kuitenkaan Keskusrikospoliisillakaan ei vielä ollut riittävää tietoa WinCapitan toiminnasta eikä siten sen toiminnan luonteen laillisuudestakaan." - Sama oli tilanne syksyllä 2015, jolloin KRP neuvoi vain varovaisuuteen ja odottamaan Onecoin-asian selviämistä.

Onecoinissa on mukana Wincapitasta tuttuja nimiä (kuten Kari Wahlroos, jota kuultiin Wincapitassa asianomistajana (oli menettänyt omia ja firmansa rahoja), ei siis rikoksesta epäiltynä).

Ymmärtääkseni Wincapita vaati uusia jäseniä todistamaan henkilöllisyytensä mm. lähettämällä kuvan passistaan. Onecoin omaksui saman tavan (KYC), ehkä idea oli jopa saatu tamperelaisilta?

"Minkä vuoksi jäsenille ei tule mitään mustaa valkoisella, dokumenttia, että rahat on mennyt?", kysyy ääni Wincapita-videolla. "Turhaa, ei kukaan jaksa sellaisia", vastaa Martiskainen ja sanoo, että paperittomuus säästää luontoa. Omassa esityksessään Vuorinen sanoo, ettei yhtiö anna mitään taloustietoja itsestään, eikä näytä papereita.

Onecoin ei näytä mitään papereita. 
Erojakin löytyy. Wincapita nousi otsikoihin MuroBBS:ssä käytyjen keskustelujen myötä, joista MTV3 teki uutisen. Se johti lopulta poliisitutkinnan alkamiseen. MuroBBS-etsivät ovat kunnostautuneet myös Onecoinin taustojen penkomisessa (ensimmäinen teksti 16.2.2015), samoin oma blogini (ensimmäinen teksti 9.2.2015). Tällä kertaa media ei ole herännyt Onecoiniin. MTV3 on ohittanut aiheen täysin, Yle on sentään tehnyt jonkin verran tutkivaa journalismia ja varoittanut kansalaisia. Hesari, Kauppalehti ym. eivät ole kirjoittaneet käytännössä mitään. Aktiivisimpia ovat olleet Pohjanmaan aluelehdet.

Jatkossa toimittajat pääsevät helpolla, ei tarvitse tehdä kuin etsi/korvaa vanhoille Wincapita-jutuille:

Wincapita -> Onecoin
valuuttakauppa -> koulutusmyynti
signaalijärjestelmä -> louhinta
Lontoo ja Panama -> Sofia ja Gibraltar/Dubai
pips -> splittimittari
"totuus tulee klubista, älä kuuntele mediaa" -> "totuus tulee yhtiöltä, älä lue nettiä"

Ohjelmointinero Hannu Kailajärveä vastaa kryptokuningatar Ruja Ignatova. Myös muille avainhenkilöille löytyy vastineet. Tommi Vuorisen Jyväskylässä helmikuussa 2016 videoitu presentaatio vastaa vyölaukkumies Martiskaisen esitystä.

Kaikesta päätellen Onecoinista tulee oikeuslaitokselle vielä suurempi prosessi kuin Wincapitasta, elleivät rahansa menettäneet sitten nuole haavojaan hiljaisuudessa. Prosessista tulee myös paljon monimutkaisempi, sillä yhtiö on Bulgariassa ja kotipaikka Gibraltarilla, rahoja on virrannut Dubaihin ja Aasiaan.

Syyttäjien kannattaa tutustua Ilkka Pitkäsen kirjaan ja miettiä strategiansa huolella, jotta valtava työmäärä ei menisi hukkaan. Pitkäsen mukaan Wincapitan poliisikuulusteluissa kuultiin yli 300 henkilöä, jokaisen kuuleminen kesti 5-6 tuntia ja asiaa käsiteltiin tuomioistuimissa 10 000 - 20 000 kertaa (s. 270, mm. turvaamistoimien jatkokäsittelyitä syytteiden nostamisen määräaikoja pidennettäessä). Kannattaa myös tarkistaa Pitkäsen tieto siitä, miten EU-tuomioistuin on keväällä 2013 Liettuaa koskeneella päätöksellä linjannut, ettei pyramidi sellaisenaan ole sopimaton menettely elinkeinotoiminnassa (s. 14).

Todennäköisesti rikoshyötynsä menettävät jäsenet tulevat tälläkin kertaa vetoamaan vilpittömän mielen suojaan, sähkökauppadirektiiviin, koulutusmyyntiin ja siihen, "ettei me ymmärretty mitään kryptovaluutasta, me haluttiin vain voittaa".

Tekstiä täydennetty 22.4.2017

sunnuntai 16. huhtikuuta 2017

Wincapita - puolustuksen puheenvuoro kirjana

Wincapita ei ollut pyramidi, vaan ulkomailla toimiva sijoitusklubi, jonka toiminnan Suomen valtio katkaisi laittomasti. Oikeudenkäynneissä unohdettiin kansainväliset ja kotimaisetkin lait, kun sijoitusklubin jäsenille haluttiin nopeasti tuomiot ja heidän lailliset voittonsa takavarikoitiin.

Tämä on oma tiivistykseni Ilkka Pitkäsen WinCapita-kirjasta (alaotsikko ”Suomen suurin talousrikos ja pyramidihuijaus, vai, kaikkien aikojen suurin viranomaisrikos Suomessa?”). Kirjoittaja on oikeustieteen lisensisaatti ja ekonomi Ilkka Pitkänen, joka on johtanut ns. Wincapitan puolustusrintamaa ja edustanut klubin jäseniä oikeudenkäynneissä.

Oikeuden tuomion mukaan Wincapita oli pyramidi, jossa 400 % vuosituotoista haaveilleet hyväuskoiset menettivät rahansa. Mutta aina on hyvä kuulla myös toista osapuolta ja katsoa asioita uudesta näkökulmasta. Annetaan siis tilaisuus Pitkäselle, jonka omakin historia on värikäs (”erotettu 1998 varattomana asianajajaliitosta”, kertoo Ylen uutinen).

WinCapita -kirja.
Kirjan eetos käy ilmi jo esipuheesta: ”Jostain syystä Suomen viranomaiset eivät voineet sietää sitä, että tavalliset suomalaiset pystyivät saamaan klubissa huomattavia tuottoja” (s. 4). Teksti on pientä, joten 320 sivulle sitä mahtuu valtavasti. Teksti on juristimaisen pikkutarkkaa ja perusteellista, välillä rasittavuuteen asti. Paikoin yksittäinen tekstikappale toistuu sellaisenaan pari sivua myöhemmin. Samoja avainkohtia toistetaan loputtomasti, aivan kuin lukija olisi dementikko tai ei muuten uskoisi lukemaansa.

Tekstiä on. Paljon.
Äidinkielenopettaja saisi halvauksen jo kirjan nimestä: pilkku vai-sanan jälkeen on pahin mahdollinen pilkkuvirhe, eikä kyseessä ole painovirhe, sillä sama muoto esiintyy kirjan selkämyksessä. Opettaja haroisi hiuksiaan myös kirjan tekstissä, jossa vilisee huuto- ja kysymysmerkin yhdistelmiä (!?), valmiita alleviivauksia ja lihavointeja – usein vielä molempia yhtä aikaa. Näin toimivat tavallisesti kokemattomat kirjoittajat, jotka eivät usko viestinsä menevän muuten perille. Tekijä on selvästi tuohtunut kaikesta tapahtuneesta.

Pitkäsen kirja käsittelee sekä klubin toimintaperiaatetta että oikeuslaitoksen toimintaa. Jälkimmäinen on paksua juridiikkaa, jonka argumentointia en pysty arvioimaan. Tekstissä on loputtomasti viittauksia lähdeteoksiin, pykäliin, ennakkotapauksiin ja EU-lainsäädäntöön, ja ne ainakin näyttävät uskottavilta. Toivottavasti joku juristi kommentoi kirjan tätä puolta. Jos osakaan Pitkäsen väitteistä on totta, oikeuslaitoksella on syytä tutkia toimintaansa.

Vähän yksinkertaistaen WinCapita kertoi olevansa sijoitusklubi, joka teki jäsenten rahoilla tuottoisaa valuuttakauppaa. Keskeisessä roolissa oli Kailajärven kehittämä ohjelma, joka antoi osto- ja myyntisignaaleita valuuttakauppaa varten. Kirjan (ja Kailajärven kanssa käymäni sähköpostikeskustelun) mukaan signaalit toimivat oikein, mikä myös oikeudenkäynnissä näytettiin. Varsinaista valuuttakauppaa ei kuitenkaan käyty, vaan ”Kailajärvi teki laskennallista valuuttakauppaa vain klubin sisällä ja sai siellä aikaan huomattavia tuottoja jäsenistölle” (s. 11). Pitkäsen mukaan tässä ei ole mitään outoa, sillä ”tuhansien valuuttakauppameklarien valtaosa toimii [vastaavalla] dealing desk-periaatteella” (s. 17) ja ”se on eräänlaista vedonlyöntitoimintaa asiakkaita vastaan, jossa meklari uskoo, että asiakkaat eivät onnistu valuuttakaupassaan, jolloin kertoimien mukaiset asiakkaiden tappiot koituvat meklarin itsensä hyödyksi” (s. 158).

Kirjassa on esimerkki (s. 57-59) vuodelta 2007, jossa pips-lukemien (”pips … on 0,1 promillea dollarista”, s. 54) mukaan laskettu 10 000 euron alkupääoma on tuottanut vuoden loppuun mennessä 24 654,79 euroa. Jos tämä pitää paikkansa, Kailajärvi on nero ja ansainnut talouden Nobel-palkinnon. Suuret pankit ovat panostaneet miljoonia automaattisten kaupankäyntijärjestelmien kehittämiseen, eikä kukaan ole päässyt lähellekään tällaisia tuottoja. Oikeudenkäynnissä mm. professori Vesa Puttonen todisti, että valuuttakauppa on lähinnä nollasummapeliä, jossa voitolle pääseminen on kuin kolikon heittämistä.

Suuret voitot olivat mahdollisia vivutuksen (leverage) ansiosta. Satakertaisella vivutuksella pienikin kurssinousu tuotti satakertaisen hyödyn. Entä jos kurssit laskivat? ”Myönteisen suunnan kääntyessä laskuun, kaupankäynti loppuu ja osallistuva vivutettu pääoma poistuu kaupankäynnistä ja varat palaavat alkuperäiseen arvoonsa” (s. 63). Jos rahanteko on oikeasti näin helppoa, mikseivät kaikki vivuta samalla tavalla vain ylöspäin? Epäilemättä Pitkänen ekonomina tuntee asian, mutta minä insinöörinä en tätä kohtaa ymmärrä.

Kaikissa huijauksissa on yksi oleellinen kysymys: jos juttu toimii, miksi mainostaa sitä muille? Miksei hyvän rikastumiskeinon keksinyt hyödynnä ideaa itse kaikessa hiljaisuudessa? Jos Kailajärven signaalit toimivat, miksi hän perusti klubin ja auttoi muita rikastumaan sen sijaan, että olisi rikastunut itse? Pitkänen kuittaa asian pitämällä kysyjää tyhmänä (s. 49): ”Tässä on nähtävissä se liiketoiminnallinen tavoite, joka Kailajärvellä oli ohjelmiston ja klubin toiminnan kehittämisessä. Kun tämän ymmärtää, ei tarvitse kysellä, että miksi Kailajärvi ei itse tehnyt ohjelmallaan suurta valuuttakauppaa, jos ohjelma kerran oli niin hyvä. Tietenkin tuo kysymys on yhtä tyhmä kuin esittäjänsäkin. Eihän kukaan kauppiaskaan valmista tuotteitaan myydäkseen niitä itselleen!”

Kailajärven kirje veljelleen (esitutkinta-aineistoa).
Pitkänen ei mainitse mitään Kailajärven veljelleen lähettämästä kirjeestä, jossa hän sanoo pettäneensä kaikki ja tunnustaa Wincapitan olleen suuri kupla, joka paisui ja paisui. Hän ei osannut lopettaa vaan piti järjestelmää pystyssä keksimällä jäsenille yhä uusia lupauksia. Maaliskuussa 2008 sivut menivät kiinni ja Kailajärvi pakeni ulkomaille koodatakseen valmiiksi valuuttarobotin, joka olisi käynyt todellista valuuttakauppaa ja ansainnut jäsenten rahat takaisin. Poliisi tavoitti hänet kuitenkin Ruotsin maaseudulta joulukuussa 2008 ja koodaus jäi kesken.


Muutama sana juridiikasta. Pitkäsen mukaan klubin toimintaa ei olisi saanut lainkaan tutkia Suomessa, koska yhtiöllä oli täällä vain jäseniä -- ei tiliä, laitteita, tiloja eikä muutakaan toimintaa. Tutkinta olisi pitänyt tehdä Lontoossa, missä sijaitsi yhtiön tili Moneybookers-pankissa. Se puolestaan oli rekisteröity Wyomingissa sijaitsevan Worldwide Investments Company LLC -yhtiön nimiin. Pitkäsen mukaan Wincapitan toiminta olisi Englannin lain mukaan ollut sallittua.

Hovioikeus tuomitsi Kailajärven helmikuussa 2013 törkeästä petoksesta ja rahankeräysrikoksesta viideksi vuodeksi vankeuteen. Korkein oikeus ei käsitellyt petosta, mutta rahankeräysrikos meni läpi tuomariäänin 3-2. Tulos kertoo, että aihe on ollut vaikea oikeuslaitokselle. On helppo uskoa Pitkästä ainakin siinä, että jutun laajuuden vuoksi prosessissa vedettiin mutkia suoriksi.

Eräs sellainen kohta on rikoshyödyn takaisinperintä. Oikeuslaitos ei lähtenyt erittelemään, miten paljon kukin jäsen oli saanut laillisia tuottoja (lisenssien myynnistä pörssin sisällä toisille jäsenille) ja miten paljon virtuaalisesta valuuttakaupasta. Kaikki tuomittiin rikoshyötynä takaisin, eikä lain mahdollistamaa kohtuullistamismenettelyä sovellettu.

Koska hovioikeus piti rikosta vakavana, se otti poikkeuksellisen tiukan linjan. Esimerkiksi vuonna 1941 syntyneen naisen 17313 euron hyöty tuomittiin menetettäväksi, vaikka nainen oli toiminut hyvässä uskossa ja oli vakavasti sairas. Vilpittömän mielen suojaa tai kohtuullistamisperiaatetta ei sovellettu. Pitkänen itse kertoo oululaisesta 90-vuotiaasta sydän- ja aivoinfarktin saaneesta vastaajasta (s. 163) ja kutsuu oikeuden asennetta ”verenhimoiseksi”. Sivuilla 228-229 on monia tarinoita ihmisistä, jotka ehtivät kuluttaa saamansa voitot ja joutuivat ahdinkoon, kun ne takavarikoitiin korkojen kera takaisin. ”Ihmiset luonnollisesti olivat käyttäneet rahat elämiseen, koulutukseen, kotien perustamiseen ja muihinkin kohteisiin, joista rahat eivät enää olleet palautettavissa. Tilanne johti lukuisiin itsemurhiin, joissa sijoituksiin lainaa ottaneet joutuivat toivottomiin tilanteisiin, lukuisia yrityksiä ajautui konkursseihin, perheitä hajotettiin joka puolella Suomea ja ihmisten kodit joutuivat pakkotoimien alle” (s. 227).

Tälläkin asialla on kääntöpuolensa, sillä raha ei synny tyhjästä. Wincapitasta hyötyneiden tulot olivat pois toisilta jäseniltä. Rikoshyötynä perittyjä voittoja palautetaan vielä tänäkin vuonna takaisin uhreille kahdeksan miljoonan edestä (lisäys: takaisinmaksut viivästyvät). Ainakin he lienevät tyytyväisiä oikeuslaitoksen toimintaan. Wincapita työllistää oikeuslaitosta vielä 10 vuotta aktiivisen toimintansa jälkeenkin.

Kirja on omakustanteinen (ISBN 978-952-93-8626-0) ja sitä voi tilata 65 euron hintaan suoraan tekijältä.
Website Security Test