maanantai 12. huhtikuuta 2021

Koronavirus ja numeroharha

Menin tekemään aloittelijan mokan: lähdin hetkeksi väittelemään erään koronaänkyrän kanssa. Hän väitti itsepintaisesti, että viranomaiset liioittelevat koronaviruksen vaaraa. Suomen pitäisi löysätä rajoituksia, avata palvelut ja antaa kansan taas liikkua, sillä "eihän korona ole sen vaarallisempi kuin normaali flunssakaan".

Persu tietenkin, pitihän se arvata. Ja vielä ehdolla kunnallisvaaleissa.

Jostain syystä nämä koronaänkyrät ovat lähes poikkeuksetta perussuomalaisia. Siis heitä, jotka "ajattelevat mieluummin omilla aivoillaan" eivätkä noudata viranomaisten määräyksiä. Itseäni huvitti, kun puolueen puheenjohtaja Halla-aho muutama viikko sitten A-Talkissa sanoi sulkutilan olevan turha, sillä suomalaiset ovat tottelevaista kansaa ja pelkät suositukset riittävät.

Eivät riitä, eivät ainakaan Halla-ahon oman puolueen jäsenille.

Tämäkin änkyrä vetosi kuolleisuuslukuihin. Suomessa on koronaan kuollut alle tuhat ihmistä, enimmäkseen vanhuksia. Eihän se kuulosta lainkaan pahalta eikä anna syytä sulkea ravintoloita ja muita palveluita.  Ruotsissa kuolleita on yli kymmenkertaisesti, vaikka väkiluku on vain kaksinkertainen. Brasilian katastrofaalista tilannetta änkyrä piti median liioitteluna. "Iso maa, saman verran siellä kuolee normaalistikin." Just.

Änkyrä oli vähemmistössä, mutta ei suinkaan yksin. Viikonloppuna muutama sata ihmistä osoitti Helsingissä mieltään koronarajoituksia vastaan. He eivät halua, että valtio suojelee kansalaisiaan. Jokaisen pitäisi saada itse päättää, haluaako ottaa riskin ja tartuttaa muita.

Änkyrän takertuminen kuolinlukuihin on yleinen harha. Kun asia on mutkikas, ihmismielellä on tarve supistaa se yhteen, helposti käsiteltävään numeroon. Esimerkiksi digikameroissa kilpailtiin aikoinaan sillä, kenellä on eniten megapikseleitä. Se johti kilpavarusteluun, jossa pikselimäärät kasvoivat mutta kohina kasvoi vielä enemmän. Tiedostokoot kasvoivat, mutta informaation määrä ei lisääntynyt, ja subjektiivinen kuvanlaatu jopa huononi.

Digikamera oli tyypillinen kohde, jota on vaikea mitata. Kohinalle, kennon herkkyydelle, valotusautomatiikalle ym. ei ole helppoja mittareita. Niinpä mainostajien ja ostajien huomio kohdistui yhteen lukuun, joka ei kertonut oikeastaan yhtään mitään.

Koronan tapauksessa kuolleet eivät ole suurin ongelma. Suomen tapauksessa suurin ongelma on terveydenhuollolle koituva rasitus. Tehohoitopaikat menevät koronapotilaille, muita leikkauksia joudutaan lykkäämään, syöpä- ym. diagnoosit viivästyvät. Kansanterveys maksaa koronahintaa vielä vuosia sen jälkeen, kun akuutti epidemia on mennyt ohi.

Toinen uhka ovat mutaatiot. Mitä enemmän virus saa levitä, sitä enemmän se mutatoituu. Osa mutaatioista on vaarattomia, jokin niistä voi olla todella tappava. Osa oppii kiertämään rokotteita, mikä vähentää rokotusten hyötyjä ja pakottaa kehittämään uusia rokotteita.

Joillekin sairastetusta koronasta jää pitkävaikutteisia oireita, jotka näkyvät alentuneena työkykynä ja henkisenä kärsiymyksenä.

Mitään näistä ei voi pukea yhdeksi luvuksi. Siksi "omilla aivoillaan ajattelevat" persut eivät huomioi niitä lainkaan. 

Sodassa tavoitteena on tappaa vastapuolen sotilaita. Jokainen kenraali tietää, että haavoittaminen on tappamista tehokkaampaa. Haavoittunut sotilas sitoo pelastushenkilökuntaa, kuormittaa terveydenhuoltoa ja jättää usein pysyvää yhteiskunnan tukea vaativan uhrin. Kaatunutta sotilasta surraan aikansa, ja sen jälkeen asia on selvä. 

Kuolleet eivät ole ongelma. Elävät ovat.

Elävistä puheenollen, poimin tähän loppuun some-palstalla juuri silmään sattuneen kommentin eräältä sairastuneelta: 

"2 viikkoa ollaan nyt sairastettu ja voin sanoa, että ikinä en ole ollut näin kipeä. 5. yö lähtee Jorvissa, puoliso siirrettiin juuri tehohoitoon."

Ei kuulosta pikkuflunssalta, joka iskee vain vanhuksiin.

Kuka käskee persuja "ajattelemaan itse", jos eivät pysty ottamaan huomioon kuin yhden luvun kerrallaan, ja pönkittämään omia ajatuksia somekuplan keskinäisellä kehumisella?

keskiviikko 7. huhtikuuta 2021

Facebook-vuodon jälkipyykkiä

Facebook on antanut oman selityksensä tietovuodolle. Sen mukaan kyseessä oli tekniikka, jolla Facebookista pystyttiin etsimään ihmisiä puhelinnumeron avulla. Joku oli tehnyt Facebookia matkivan sovelluksen, joka etsi suuren määrän ilmeisesti satunnaisia puhelinnumeroita ja keräsi niihin liittyviä julkisia tietoja (nimi, työnantaja, parisuhdestatus ym) tiedostoksi.

Mikko Hyppönen kutsui temppua varkaudeksi. Verbi varastaa on tässä yhteydessä raju. Jos puhelinnumerot löytyvät kokeilemalla, onko niiden kerääminen varkaus? Entä niiden takana olevien tietojen yhdistäminen tiedostoksi? Perinteisen maailman käsitteiden soveltaminen digimaailmaan ei ole ihan suoraviivaista.

Tuloksena oli joka tapauksessa jättikokoinen tietokanta ja tietosuojakohu, joka sai pääsiäisen pyhinä monet huolestumaan. Suomalainen Teemu kehitti pikavauhtia vuoto.fi-palvelun, josta pystyi tarkistamaan, oliko oma puhelinnumero vuodettujen joukossa. Palvelu perustui Teemun numeroista laskemiin sha-1-tiivisteisiin, joten kenenkään ei tarvinnut lähettää numeroaan palveluun. 

Ei kestänyt kauaa, ennen kuin muutamat tietoturvatutkijat olivat ladanneet Teemun kokoamat tiivistelistat ja palauttaneet muutoin yksisuuntaisen funktion takaisin alkuperäisiksi numeroiksi. Näin saatiin siis lista kaikista puhelinnumeroista, joita vuodossa oli.

Tämä kuulostaa pahalta, mutta lista ei muutenkaan ollut kovin salainen, sillä kohu nousi juuri siitä, että alkuperäinen lista tuli avoimeen verkkoon helposti löydettäväksi. Ja siinä listassa oli numeroiden lisäksi kaikki muutkin henkilötiedot. 

Jokainen tietoturvatutkija alkuperäisen listan helposti käsiinsä, joten sinällään sha-1-kääntö oli täysin turha. Se kuitenkin osoitti, miten vaikeaa on tarjota tietoa pseudonymisoituna tai osittain salattuna. Sha-1 tiedetään haavoittuvaksi, vaikka esimerkiksi Have I Been Pwned -palvelu käyttää juuri sitä. Puhelinnumerot oli helppo löytää kokeilemalla, koska niiden avainavaruus on suppea esimerkiksi salasanoihin verrattuna.

Vuoto.fi tarkistuspalvelu

Oliko Teemun tarjoama palvelu laiton, vaarallinen vai yleisölle hyödyllinen? Teemu itse ei juridiikkaa pohtinut. Vaikeaa se on asiantuntijallekin, edes näin jälkikäteen.

Viestintäviraston edustaja kritisoi palvelua sanoen "sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää". 

Miten vuodosta huolestuneen kansalaisen olisi siis pitänyt menetellä? On inhimillistä haluta tietää, ovatko omat tiedot vuotaneet, vaikkei asialle voinutkaan tässä tapauksessa tehdä mitään.

Miksei Kyberturvallisuuskeskus tai poliisi tarjonnut tarkistuspalvelua? Niillä olisi ollut resursseja palvelun turvalliseen toteuttamiseen ja nähdäkseni myös lainmukainen käsittelyperuste.

Ilman Teemun palvelua moni kansalainen olisi lähtenyt hakemaan listaa ja ladannut sen kaikkine tietoineen itselleen. Tämä olisi ollut kokonaisuutena paljon huonompi vaihtoehto kuin helpon tarkistuspalvelun tarjoaminen.

Tällä hetkellä viranomainen suosittelee käyttämään Microsoftin työntekijän Troy Huntin perustamaa Have I Been Pwned -palvelua, johon vuodetut puhelinnumerot lisättiin juuri (kun vuoto.fi avattiin, HIBP käsitteli vain sähköpostiosoitteita ja salasanoja). Suositus on yllättävä, sillä australialaisen yksityishenkilön pyörittämällä palvelulla ei käsittääkseni ole laillista perustetta suomalaisten henkilötietojen käsittelyyn ja palvelun tarjoamiseen EU-alueelle. Voi epäillä, että palvelu on GDPR:n vastainen. Jos ei ole, tuskin on vuoto.fi palvelukaan, koska molemmat tekevät pohjimmiltaan saman asian.

Tämä ei jää viimeiseksi tietovuodoksi. Toivottavasti tiedottamista varten saadaan luotua selvät pelisäännöt ja pohdittua juridinen pohja kuntoon. Ei voi olla niin, että tietosuojalait estävät vahingoista kertomisen ja kansalaisten oikeutettuun huoleen vastaamisen, samalla kun viranomainen vetoaa kaiken kieltävään tietosuojalakiin. Uhreillakin on oikeutensa.

PS. Joku juristi voisi pohtia sitäkin, onko pelkkä puhelinnumeroiden lista (ilman nimiä tai mitään muita henkilötietoja) tietosuojalakien alainen? Onko pelkkä absoluuttinen numerosarja henkilötieto?

sunnuntai 4. huhtikuuta 2021

Maailman suurin puhelinluettelo - Facebookin tuore tietovuoto

Eilen 3.4.2021 joku vuoti Facebookilta pari vuotta sitten kaapatut käyttäjänimet ja puhelinnumerot verkkoon valtavana kokoelmana, jossa on yhteensä 533 miljoonan ihmisen tietoja. Suomen listassa on yhteensä 1 381 569 nimeä. Jostain syystä listan lopussa on kuitenkin suuri joukko Arabiemiraattien kansalaisia ja heidän tietojaan, joten suomalaisten numeroiden osuudeksi jää 1 214 441.

Kyseessä ei ole tavanomainen tietomurto, sillä tiedosto ei ole käyttäjätietokanta. Pikemminkin tiedot on kerätty koneellisesti jonkin porsaanreiän tai haavoittuvuuden kautta. Kaikista henkilöistä on puhelinnumero, Facebookin käyttäjänumero (joka on samalla hänen FB-sivunsa osoite) sekä nimi. Useimmista on sukupuoli (664 794 male, 544 908 female); joistakin lisäksi koti- ja syntymäkaupunki,  parisuhdestatus (Married, Single, Divorced, In a relationship ym), työnantaja (yrityksen/organisaation nimi) sekä syntymäaika. Sähköpostiosoitteita on 11 537 suomalaisen kohdalla.

Yksi rivi tiedostosta.

Joillakin tiedoissa näkyy vuosiluku (kuten itselläni 1987), joten sen täytyy olla valmistumisvuosi. Sukunimen ääkköset ovat UTF-muodossa, joten ne näkyvät Windowsin komentotulkin ikkunassa väärin.

Tiedot on kasattu jo 2019 ja niitä on myyty pimeässä verkossa. Tapaus uutisoitiin jo tuolloin. Voi olla, että saamasi huijauspuhelut ovat tulleet juuri tämän tietovuodon perusteella.

Facebook on itse vähätellyt tapausta, tietenkin. Mikään ei poista sitä vastuuttomuutta ja huolimattomuutta, jolla yritys on henkilötietoihin suhtautunut. Tämäkin vuoto on tapahtunut yli vuosi GDPR:n voimaantulon jälkeen, joten Facebookin olisi pitänyt tiedottaa asiasta paremmin. Olisi ihme, jos tästä ei tule firmalle isoja sakkoja.

Mutta minkälainen riski tämä on? Yleensä tietoturvatapauksia paisutellaan ja uhkia liioitellaan, varmuuden vuoksi. Kaikkia kerrannaisvaikutuksia on vaikea hahmottaa, mutta yritetään arvioida asiaa realistisesti. 

Joukossa ei ole kotiosoitteita eikä salasanoja, henkilötunnuksista tms. puhumattakaan. Tämä vähentää riskejä. Sähköpostiosoite on useimmilla Gmail-tyyppinen ilmaisposti, mitä yleisesti käytetään some-palveluissa. Se vähentää esimerkiksi Office 365-hyökkäysten vaaraa.

Merkittävintä tässä vuodossa on tietojen määrä. Yli puoli miljardia tietuetta on valtava määrä, vaikkei ennätys olekaan. Kyse on kuin maailmaan suurimmasta puhelinluettelosta, jossa on 106 maan ihmisen tietoja. Mitä vaaraa on puhelinluettelosta? Ennen niitä jaettiin koteihin painettuina. Mutta silloin luettelot olivat kansallisia eikä niiden tietoja voinut hyödyntää koneellisesti. Helsingin Puhelimen luettelo ei takuulla kiinnostanut aasialaisia tai afrikkalaisia rikollisia. 

Netin ansiosta nyt on toisin. Puhelinnumeroita voi käyttää huijauspuheluihin ja valheellisten sms-viestien lähettämiseen ("Olet saanut paketin...") vaikka toiselta puolelta maailmaa. Suurin vahinko on niillä, joiden puhelinnumero on salainen. Sen vuotaminen voi tietää monenlaisia harmeja ja pakottaa vaihtamaan numeroa.

Ehkä jotain nyt vuotaneita tietoja voi yhdistellä aiemmin vuotaneisiin tietoihin, mutta siinä pelkkä nimi on huono yhdistelyavain, eivätkä roistot halua tehdä käsityötä. Tältä osin pidän riskiä pienenä.

Listassa on henkilötietoja, jotka ao. henkilön profiilissa eivät näy ainakaan julkisesti (ei-kavereille). Kyse ei siis ole vain Facebookin julkisten tietojen vuotamisesta, vaan myös luottamukselliseksi tarkoitettuja tietoja on mukana. Erään kunnallisvaalien ehdokkaan sähköpostiosoite on listalla seta.fi-loppuinen, mikä saattaa olla henkilön itsensä mielestä arkaluontoinen tieto. 

On luultavaa, että lista alkaa levitä laajasti myös Suomen sisällä. Varsinkin puhelinmyyjien luulisi olevan siitä kovin kiinnostuneita, vaikka listan käyttö laitonta olisikin. Tämä voi näkyä jatkossa markkinointipuheluiden määrän kasvuna. 

Mitä siis nyt kannattaa tehdä?

Listassa ei ole läheskään kaikkia Suomen Facebook-käyttäjiä. Jos on käynyt vähänkin tuuri, omia tietoja ei listalta löydy. Vuodettuja tietoja on 1,2 miljoonaa, suomalaisia Facebook-käyttäjiä 2,7 miljoonaa -- on siis todennäköisempää, että juuri sinun tietojasi EI ole vuotanut kuin että niin on käynyt (vaikka Ylen uutisen otsikko sanoo toisin).

Netissä on palveluita, joista voi tarkistaa, onko itse ollut mukana tietovuodoissa (kuten Haveibeenpwned). Tällaisia palveluita on myös Suomessa, esimerkiksi Badrap.io ja F-Secure Identity theft checker. Niissä avaimena on aina sähköpostiosoite, joten tässä tapauksessa vain runsaat 11 500 suomalaista saa tiedon asiasta. Tietääkseni mikään tarkistuspalvelu ei vielä toimi puhelinnumeron perusteella, mutta nyt olisi hyvä syy lisätä se hakutekijäksi.

Niille, joiden tiedot ovat mukana, en voi antaa muuta neuvoa kuin odottaa ja seurata tilannetta. Tietoja ei saa pois. Facebookin salasanaa ei kuitenkaan tarvitse tämän vuoksi lähteä vaihtamaan. Facebookista eroamista jokainen lienee harkinnut jo aiemmin, eri syistä. Palvelusta on kuitenkin myös paljon hyötyä, joten itse en kehota ketään kategorisesti eroamaan somepalveluista.

Valitettavasti tämä on muistutus myös siitä, miten suojattomia olemme edelleen, tiukasta GDPR-tietosuojasta huolimatta. Vahinkoja sattuu edelleen eikä edes miljardisakkojen uhka saa yrityksiä toimimaan virheettömästi.

Ainoa varma tapa suojata omia tietojaan on olla luovuttamatta niitä. 

PS. Nyt illalla on avautunut suomalainen sivu, jolta voi tarkistaa, onko oma puhelinnumero vuodettujen joukossa: https://vuoto.fi/. Tein muutamia kokeiluita ja se näytti antavan oikeita tuloksia. 

sunnuntai 21. maaliskuuta 2021

Näin haittaohjelma tulee älypuhelimeen ja miten se estetään

Pari päivää sitten puhelimeeni kilahti tekstiviesti: "[OmaPosti] Sinulla on paketti, joka on allekirjoitettava, tarkista..." (ja is.gd-linkkilyhennyspalvelun taakse piilotettu osoite).

Haittaohjelma tyrkyttää itseään huijausviestillä.

Kyseessä on nykyään yleinen FakeCop, jonka toiminnasta voi lukea lisää esim. Ilta-Sanomien uutisesta 27.1.2021, ja se voi tuottaa uhrille ison puhelinlaskun (IS-juttu 15.2.2021). Viestissä mainittu linkki ei enää toimi, mutta sen takana oli aidolta Postin sivulta näyttävä huijaus, joka neuvoi päivittämään Chrome-selaimen.

"Päivitä Chrome turvallisuutesi vuoksi".

Samsungin selain ei ole Chrome, mutta harva peruskäyttäjä kiinnittää huomiota selaimen valmistajaan. Sen sijaan tämä on tärkeää: Älä koskaan päivitä sovellusta nettisivun linkillä! Mobiililaitteissa sovellukset päivittävät itsensä automaattisesti.

Älä lataa apk-tiedostoa!

Seuraavaksi huijaus pyytää lataamaan apk-tiedoston, joka on Androidin käyttämä ohjelmatiedostoformaatti. Älä tee niin! Itse tein latauksen ja lähetin apk-tiedoston Virustotal-palveluun, missä vain muutama virustorjuntaohjelma tunnisti sen. Ladattavia tiedostoja varioidaan, jotta virustorjunta ei tunnistaisi niitä, ja tekniikka näköjään toimii.

Vain muutama torjuntamoottori tunnisti viruksen tässä vaiheessa.

Siirsin tiedoston testipuhelimeen ja yritin käynnistää sen. Hyvä puoli on, että toisin kuin Windowsissa, mobiililaitteissa netistä ladattuja tai sähköpostilla saatuja tiedostoja ei voi suoraan käynnistää. Rikollisten täytyy onnistua huijaamaan uhri käynnistämään haittaohjelman itse. Tässä kohdassa jokainen pystyy suojaamaan puhelimensa ja itsensä -- älä siis koskaan lataa äläkä asenna epämääräisiä ohjelmia, pyydettiinpä sitä millä verukkeella tahansa.

Älä siis tee näin, kuten minä tein opetustarkoituksissa:

Haittaohjelman asentaminen.

Android varoittaa, ettei tästä lähteestä voi asentaa tuntemattomia sovelluksia.

"Puhelin ei voi asentaa tuntemattomia sovelluksia tästä lähteestä."

Se tarjoaa kuitenkin Asetukset-painikkeen, jolla rajoitus voidaan hetkeksi poistaa. Samalla se varoittaa vielä kerran vaaroista, mitä Play-kaupan ulkopuolelta asennettaviin ohjelmiin liittyy.

Salli tästä lähteestä -asetus.

Täppää siirtämällä asennus onnistuu ja haittaohjelma lisää itsensä muiden sovellusten joukkoon. FakeCop käyttää Google Chromen kuvaketta, joten sitä ei tunnista haitalliseksi. Tarkkasilmäinen voi ihmetellä, miksi asennettujen ohjelmien listassa näkyy peräkkäin kaksi Chromea, joista toinen on yli 50 megatavua (oikea selain) ja toinen vain 428 kilotavua (haittaohjelma).

Hetkinen... kaksi Chromea?

Toinen kummastusta herättävä kohta on vale-Chromen pyytämät oikeudet. Miksi selaimen pitäisi päästä tekstiviesteihin, yhteystietoihin ja saada oikeus soittaa puheluita?

Haitake haluaa oikeudet puhelimeen ja tekstiviesteihin. 

Testipuhelimessa ei ollut sim-korttia, jotta haittaohjelma ei pystyisi levittämään itseään. Nettiyhteys oli, joten FakeCop pystyi ottamaan yhteyttä komentopalvelimeen. Se ei vain pystynyt tekemään mitään. Puhelin toimi normaalisti eikä mistään ulkoisesta syystä voinut havaita, että haittaohjelma oli käynnissä.

Viruksen jälkeen asensin F-Secure SAFE-ohjelman. Jäi siis kokeilematta, olisiko aktiivinen torjuntaohjelma estänyt asennuksen. Luultavasti. Jälkikäteen skannauksessa haittaohjelma paljastui.

F-Secure Safe löytää haittaohjelman puhelimesta.

Haittaohjelmien yhä lisääntyessä virustorjuntaohjelma saattaa olla paikallaan, varsinkin jos puhelimeen ladataan pelejä ja sitä käytetään huolimattomasti. Ilman torjuntaohjelmaakin pärjää, kunhan ei lataa epämääräisiä ohjelmia eikä ikinä asenna mitään nettisivulta. Älä asenna puhelimeen yhtään ylimääräistä sovellusta, niin pysyt turvassa.

Kuten kuvista näkyy, saa syyttää vain itseään, mikäli ei lue eikä ymmärrä Androidin monia varoituksia Play-kaupan ohittavan oheislatauksen (ns. side loading) vaaroista.

BTW, Google on näköjään taas lisännyt uuden suojaustason Chrome-selaimeen. Se kannattaa kytkeä päälle. Haittapuolena tosin on, että ilmoituksen mukaan epäilyttävät url-osoitteet lähetetään Googlen tarkistettavaksi, mikä voi aiheuttaa tietosuojahuolia. 

Googlen "Parannettu suojaus" on osa selaussuojan asetuksia.

Chromen asetus löytyy kohdasta chrome://settings/security.

Lisäys 16.4.2021: Ilta-Sanomat on tehnyt saman kokeilun videona, tosin jättävät varsinaisen haittaohjelman asentamatta. 

keskiviikko 10. maaliskuuta 2021

Tekoälyn etiikka, Google Translate ja woke-signalointi

Naistenpäivän kunniaksi Googlen kääntäjästä nousi pienimuotoinen kohu. Median oli helppo tarttua aiheeseen, joka ainakin itselleni oli tuttu jo ennestään: kun suomen kielen pronomineja ei voi kääntää englantiin, Google valitsee todennäköisimmän. Niinpä Maikkarin uutinen syytti Googlea ummehtuneiden sukupuoliroolien toistamisesta, Journalistin päätoimittaja Maria Pettersson kommentoi Twitterissä "Kyllä, algoritmi voi olla seksisti, ja onkin".

Hmm... voiko algoritmi olla seksistinen? Vaikka tapaus juontaa juurensa kielitieteeseen, se koskettaa ajankohtaista ja herkkää aihetta: tekoälyn vinoutumia (bias) sekä sen tapaa vahvistaa usein piiloon jääviä kaavamaisia ja stereotyyppisiä ajatusmalleja.

Insinöörin näkökulma on selvä: kääntäjän algoritmi ei ymmärrä tekstistä mitään, se vain etsii netistä tilastollisesti sopivimman vaihtoehdon. Yksittäistä lausetta "hän on lääkäri" tai "hän on johtaja" ei voi kääntää englanniksi tietämättä, onko kyse miehestä vai naisesta. Suomi on harvoja kieliä, joissa sukupuolella ei ole väliä. Siten tilastollisesti yleisin muoto on paras valinta käännösvastineeksi.

Hän on johtaja. Hän on lääkäri.

Monissa kielissä maskuliinimuoto on oletusarvo, joka juontaa juurensa kielen alkuhämäristä asti, ja on paljon syvempi asia kuin pelkkä ammattien tai toimintojen sukupuolijako. Kun Google kääntää johtajan mieheksi (he) ja lääkärin naiseksi (she), se kuvastaa vallitsevia oloja. Ainakin Suomessa enemmistö johtajista on miehiä ja lääkäreistä naisia (vähän yleistäen). 

Mutta riittääkö tässä insinöörilogiikka? Miten Googlen pitäisi toimia, jotta se olisi moderni ja ottaisi huomioon aikojen muuttumisen? Kaikenkattava "he/she is a doctor" olisi kömpelö ja käyttäjä joutuisi korjaamaan sen kaikista teksteistä manuaalisesti. Kääntäjä toimii myös puheella, joten puhekielisenä lausuttu "he/she" kertoo enemmän meistä suomalaisista kuin englantia puhuvista. He ovat tottuneet he-pronominin ylivaltaan. He/she olisi suomalainen bias.

Kun yritämme saada algoritmista ulos halutun lopputuloksen, sovellamme siihen omaa länsimaista bias-ajattelua. Vain puhtaasti tilastollinen ja algoritminen käsittely on täysin bias-vapaata. Vähän kuin Bitcoin, joka on luotettava vain siksi, että se on pelkkää matematiikkaa. Rahapolitiikka tai pankit konnineen eivät pääse vaikuttamaan. 

Pohjimmiltaan vika on datassa. Internetissä on liikaa tekstiä, joissa naiset ja miehet ovat stereotyyppisissä asemissa. Toisaalta juuri se on tämän päivän todellisuus. Googlen kääntäjä on pelkkä työkalu, joka heijastaa todellisuutta, ja käyttäjän pitää itse ottaa vastuuta tuloksista. Ei vasaraakaan voi syyttää, jos sillä lyö sormeensa.

Pitäisikö Googlen ohjelmoijien "tiedostaa" (sana, joka on taas noussut esiin 70-luvulta) valtansa ja korjata lähtödatassa olevat vinoumat algoritmia muuttamalla? Pitäisikö algoritmin ohjata käyttäjiä "moderniin" ajatteluun vanhojen rakenteiden toistamisen sijaan? Ohjelmien eettisyyttä on pohdittu Googlella jo vuonna 2018 myös konekäännöksen osalta (päivitetty versio 2020).

Jos algoritmeja lähdetään peukaloimaan maailman parantamiseksi ja tiedostavuuden lisäämiseksi, koodareille syntyy näkymätöntä valtaa, jota on houkutus käyttää väärin. Emme nytkään voi tietää, antaako Googlen hakukone neutraaleja tuloksia, vai onko sitäkin viilattu korjaamaan netin "vääristymiä".

Tekoälyn etiikka on kuuma puheenaihe. Poliisin ja sairaaloiden AI-järjestelmissä on käytetty lähtödatana vanhaa historiaa, joka johtaa esimerkiksi mustaihoisten pidempiin tuomioihin ja heille tyypillisten sairauksien alidiagnosointiin. Perimmäinen ongelma on historiassa, siis datassa, vallitsevissa olosuhteissa. Sen korjaaminen tekoälyvaiheessa luo näköharhan ongelman poistumisesta.

Ennen kaikkea järjestelmien käyttäjiä pitää kouluttaa tekoälyn työkalumaisuudesta. Se ei voi tehdä päätöksiä, vaan niistä valta ja vastuu jäävät aina ihmiselle. Tekoälyn taakse piiloutuminen on pelkuruutta.

Sukupuolipronominin valintaa eettisenä kysymyksenä voi pohtia, mutta vielä tärkeämpiä ovat Twitter ja Facebook, jotka vaikuttavat suoraan ihmisten ajatteluun ja toimintaan. Ei ole samantekevää, millaisia eettisiä valintoja tekoälyalgoritmit tekevät nostaessaan postauksia esiin.

Mutta millaista on se etiikka, jota some-yhtiöiden pitäisi noudattaa? Tehtävä on käänteinen Google-esimerkkiin verrattuna, sillä päivityksiin nimenomaisesti halutaan biasta - halutaan vahvistaa myönteisiä asioita ja estää kielteisiä. Tämän toteuttaminen globaalissa some-palvelussa on liki mahdoton tehtävä, sillä arvot ovat hyvin paikallisia.

Jos länsimaiset woke-herätyksen kokeneet koodarit haluavat luoda eettisesti kestävän somepalvelun, he tulevat samalla toteuttaneeksi länsimaisen ihmisen (yleensä vielä valkoihoisen miehen) etiikkaa. Aasiassa, Venäjällä tai Afrikassa eettiset arvot ovat erilaisia ja meidän etiikkamme on heille vahvasti biasoituntta, jopa siirtomaavaltaa ja läntistä hapatusta pönkittäviä.

Palataan siihen dataan. Maailmaa pitää muuttaa teoilla, ei tekoälyllä.

Muutosta odotellessa voi tutustua vaikka Helsingin yliopiston Tekoälyn etiikka online-kurssiin

sunnuntai 7. maaliskuuta 2021

Lisää huijauksia kryptovaluutoilla - ammattilainenkin voi mennä vipuun

Onecoin, Wiseling, Microsoftin tukipuhelut... nykyinen globaali nettimaailma on täynnä huijauksia, ja uusia tunkee niin ovista kuin ikkunoista.

Kuvailemani huijaussoitto-tapaus herätti kommentteja siitä, miten helppoa on huijata tietotekniikkaa tuntemattomia maallikoita tai eläkeläisiä. Ei kannata koskaan aliarvioida huijareita! Myös it-ammattilaiset voivat mennä vipuun, varsinkin jos huijari sattuu iskemään juuri, kun uhri on jostain syystä alttiina ja haavoittuvainen.

Esimerkki Bitcoin-huijauksesta löytyy Sankari.net-sivulta (Sanna + Kari): http://sankari.net/wallets.html. Tässä tapauksessa uhria ei voi syyttää osaamattomaksi, sillä Sanna Roine on pitkän linjan it-ammattilainen, hänellä on iki-osoite ja viestissään hän kertoo kirjoittaneensa web-sivujen html-koodin Emacsilla käsityönä! 

Jos ei tämä riitä osoitukseksi ammattilaisuudesta niin mikä sitten? Ja ammattilaisiakin voidaan huijata. 

Sanna ja Kari ovat dokumentoineet huijauksen sähköpostiviesteineen ja jopa puhelutallenteineen sivulleen. Tarina ei avaudu ihan helposti, mutta tiivistettynä kyse on siitä, että Sanna huijattiin ostamaan 1.8.2017 Bitcoineja noin 160 000 euron arvosta. Niiden muuttaminen takaisin euroiksi ei sitten onnistunutkaan. Nyt Sanna joutuu seuraamaan hampaita kiristellen 72 Bitcoinin pottia lohkoketjussa (arvo 41 000 euron kurssilla 2 950 000 euroa). "All my money I have ever earned and had during my life is in bitcoins unreachable. The money is inheritance of my mother, my sold appartment, inheritance of my uncle, sold stocks."

Tässä tapauksessa on kaksi oleellista asiaa: 1) kuka tahansa voi tulla huijaukseksi, myös it-ammattilainen, ja jos niin käy 2) viranomaiset ovat voimattomia auttamaan. Traficomin CERT on ilmoittanut bitcoin-osoitteen abuse-listalle, mutta sen voi tehdä itsekin. Suomen poliisi (rikosilmoitus) on lopettanut tapauksen tutkinnan, koska sillä ei ole toimivaltuuksia. Sanna kertoo, etteivät viranomaiset edes vastaa hänen viesteihinsä.

Pientä toivoa tuo sivun lopussa mainittu Britannian viranomaisten reagointi asiaan. Ehkä varat vielä joskus saadaan palautettua oikeille omistajille.

===

Aivan erillisenä asiana vielä esimerkki toisesta Bitcoin-huijauksesta, joka näyttää poskettomalta jo lyhyen perehtymisen jälkeen. Aitojen kryptovaluuttojen nousu on vetänyt mukanaan suuren joukon huijareita ja vastaavia tuottosivustoja on noussut kuin sieniä sateella.

Mactradex lupaa kryptovaluutoille huimia tuottoja, sillä "Mactradex LIMITED is involved in cloud mining, which enables our company to earn Bitcoins and other currencies without mining hardware, software, electricity, or bandwidth" - siis tuottoja ilman kuluja. Sounds legit!

24 % päivätuottoja?

Poskettomien tuottojen lisäksi epäilyksiä saattaisi herättää sellainen yksityiskohta, että vaikka katuosoite on Broadwayllä New Yorkissa, puhelinnumerossa on Cookos-saarten maakoodi. Jep jep.

===

Kolmas poimintani tuli sähköisesti. Henkilö kertoi sosiaalisessa mediassa käymästään pitkästä keskustelusta, jossa ilmeisen valeprofiilin takaa oli suositeltu ostamaan Terra-Luna-kryptovaluuttaa. Arvon uskotaan kasvavan lähitulevaisuudessa moninkertaisesti.

On mahdoton tietää, onko suosittelutoiminta järjestelmällistä ja koordinoitua, vai ainoastaan yhden hurahtaneen omaa toiveajattelua. Valeprofiilin käyttö saa kuitenkin epäilemään, ettei suosittelijalla ole ihan puhtaita jauhoja kryptolompakossaan.

Terran arvo oli vielä muutama kuukausi sitten selvästi alle dollarin, tuorein noteeraus on 7,92 dollaria. Näitä pump-and-dump-valuuttoja riittää, joten ei pidä antaa lyhytkestoisen arvonnousun hämätä.

lauantai 27. helmikuuta 2021

Näin Microsoft-huijaripuhelu tyhjensi naisen tilin

Minulle soitti nyt lauantai-iltana eteläsuomalainen 72-vuotias nainen, joka oli tänään joutunut Microsoft huijauspuhelun uhriksi. Ymmärrettyään, mitä oli tapahtunut, hän oli soittanut pankkiin ja sulkenut tilinsä, mutta oli nyt huolissaan henkilötietojensa vuotamisesta ja kysyi neuvoja niiden suojaamiseen.

Huijarit saivat haluamansa, enkä usko että henkilötiedot heitä kiinnostavat. Se olikin sitten ainoa hyvä uutinen tässä tapauksessa.

Uhri osasi varoa Microsoft huijauspuheluita, koska oli saanut jo aiemmin epämääräisiä soittoja. Niissä hän löi luurin korvaan. Työuransa nainen oli tehnyt organisaatiossa, missä tottui käsittelemään suuriakin rahansiirtoja. Hän kertoi olevansa kokenut verkkopankin käyttäjä ja kuulosti kaikin puolin skarpilta. 

Nimeä John Watson käyttänyt mies soitti +1 alkuisesta numerosta juuri, kun naisella oli ongelma tietokoneen kanssa. Onnettoman sattuman ansiosta nainen uskoi, että tällä kertaa soitto tuli oikeasti Microsoftilta Kaliforniasta. 

Soitto katkesi välillä ja uudet soitot näyttivät tulevan kotimaan numeroista. Yhteensä puhelut kestivät lähes viisi tuntia. Niiden kuluessa huijarit asensivat uhrin koneelle TeamViewer-etäkäyttöohjelman, pääsivät naisen tilille ja saivat jopa kuvan hänen passistaan. Kun nainen lopussa alkoi epäillä ja sanoi soittavansa pankkiin, huijarit kielsivät tekemästä niin. Viimeisestään siinä vaiheessa uhri huomasi, että häntä oli jymäytetty.

Pankin päivystyksessä kävi ilmi, että huijarit olivat tyhjentäneet naisen tilit ja saaneet useita tuhansia euroja. Epäonnisen sattuman vuoksi kuun lopussa maksettava eläke oli tullut tilille eilen perjantaina. Huijarit olivat tyhjentäneet jopa säästötilin siirtämällä sen saldon ensin sisäisenä tilisiirtona toiselle tilille, mikä osoittaa heidän tunteneen Nordean pankkipalvelun ja ehkä jopa osanneen hieman suomea. Toisaalta Nordean pankkipalvelun kielen voi vaihtaa myös englanniksi.

Varastetut rahat oli muunnettu saman tien bitcoineksi ja siirretty eteenpäin, joten pankki ei pystynyt pysäyttämään rahansiirtoja kuten se olisi voinut tehdä, jos varoja olisi siirretty ulkomaisille tileille. Ilmeisesti huijarit olivat perustaneet naisen nimellä tilin johonkin kryptopörssiin ja tarvitsivat sitä varten valokuvan passista.

Huijari oli puhunut englantia, taustalta kuului intialaisten puhujien aksenttia. Nainen kuitenkin arveli, että Microsoftin puhelinpalvelu on Intiassa. Uskottava selitys sekin.

Tapaus on hyvä muistutus siitä, miten kokenutkin käyttäjä voi joutua Microsoft-huijauspuhelujen uhriksi. Jälkikäteen kuultuna on helppo moittia uhreja hyväuskoisuudesta, mutta tekijät ovat ammattilaisia ja osaavat esiintyä vakuuttavasti.

Huijarin jäljiltä Windowsin työpöydälle jäi TeamViewerin kuvake.

Vaarassa ovat etenkin vanhemmat ihmiset, jotka ovat kyllä kuulleet huijaussoitoista, mutta uskovat edelleen vanhanaikaiseen asiakaspalveluun, jossa yrityksen edustaja oikeasti soittaisi kotiin ja auttaisi monen tunnin ajan asiakasta.

Suojaavia tekijöitä on oikeastaan vain kaksi: tyhjä tili tai kielitaidon puute. 

Jos suojatekijöitä ei ole, tilille pitäisi saada asetettua rajoituksia, jotka estävät suurten rahamäärien siirtämisen kaikilla verukkeilla -- vaikka henkilö itse vahvistaisi ne tunnuksillaan. Hankala rasti, sillä jos rajoituksen voi itse asettaa, huijarit voivat myös poistaa sen käyttäjän puolesta. 

Pankkitunnusten käyttö vahvaan todentamiseen pelaa huijarien pussiin. Tunnistaminen pitäisi erottaa pankkipalvelusta. Nykyinen käytäntö, jossa eri palvelut käyttävät pankkitunnuksia henkilöllisyyden tarkistamiseen, tarjoaa huijareille verukkeen tunnusten kysymiseen.

Tärkeintä olisi, että teleyhtiöt oikeasti tekisivät jotain näille numerohuijauksille. Suomalaisen operaattorin pitäisi pystyä tarkistamaan, tuleeko suomalaisen numeron puhelu oikeasti toisen suomalaisen operaattorin verkosta vai ei. Tämä estäisi kotimaisilla numeroilla huijaamisen. Jos tarkistus ei nykytekniikalla onnistu, tällaisen järjestelmän kehittäminen omin voimin ei voi olla mahdotonta, jos vain halua on. Nyt kaikki tuotekehitys tuntuu menevän mobiilipuolelle, koska siellä liikkuvat isommat rahat.

Täydellinen avuttomuus puhelinnumeroiden väärentämisen edessä uhkaa operaattorien bisnestä. Luottamus ja arvostus niitä kohtaan ovat jo mennyttä.

Ehdotus pankeille: jos käyttöliittymän voi vaihtaa englanninkieliseksi, asetus pitäisi lukkiintua niin, että sen voi vaihtaa vain puhelinsoitolla asiakaspalveluun tai vaihdossa tulisi olla esim. 24 tunnin varoaika. 

Yksi niksi vielä: jos epäilet puhelun alkuperää, sano soittavasi takaisin näytöllä näkyvään numeroon. Jos soittaja ei hyväksy tätä tai soitto ei mene perille, näkyvä numero on väärennetty. Periaate on sama kuin sähköpostissa: lähettäjän paikalla näkyvä osoite on helppo väärentää, mutta jos siihen vastaa, viesti ei mene huijarille vaan näkyvään osoitteeseen.

Muokattu 6.3.2021

Lisäys 2.3.2021: John Watson soitti uhrille uudestaan. Normaalisti tällaista ei tapahdu, ilmeisesti tällä kerralla jokin huijauksessa meni pieleen. Watson sanoi, ettei hän ollut vienyt rahoja vaan sen olivat tehneet hakkerit. Hän halusi koneen id-numeron, mikä se sitten onkaan. Päivitän sivua, jos asiassa ilmenee vielä uusia käänteitä.

Lisäys 3.3.2021: Moni kritisoi huijausten uhreja huolimattomiksi tai osaamattomiksi. Mutta eivät pankkien tunnistuspalvelutkaan aivan ongelmattomia ole. Viimeksi tänään hieraisin silmiäni, kun kirjauduin palveluun pankkitunnuksilla (yleensä käytän mobiilivarmennetta), ja Nordean tunnuslukusovellus kertoi minun kirjautuvan Osuuspankkiin. 


Nordean tunnuksilla Osuuspankin kautta palveluun.

Digi- ja väestötietovirasto kilpailutti tunnistuspalvelut ja vuoden 2021 alusta ne menevät kaikki Osuuspankin kautta. Vaikka asiakkaalla olisi Norden tunnukset, hänet ohjataan palveluun toisen pankin kautta. On tässä taas käyttäjillä ihmettelemistä! Asiasta on varmaan tiedotettu, mutta ei ole osunut omiin silmiini.

Olisi hyvä tiedottaa, koska asiakkaita kehotetaan puheluhuijarien vuoksi tarkkaavaisuuteen ja varovaisuuteen. Samalla voi pohtia, onko näytön yläreunassa näkyvä teksti riittävä kertomaan, mitä oikeasti on tapahtumassa, jos käyttäjän huomio on keskittynyt vain rutiininomaisesti pin-koodin syöttämiseen näytön alareunan painikkeilla.