Olen jatkanut vanhojen kirjojeni digitalisointiprojektia. Tuloksena on kaksi tietoliikenne-aiheista kirjaa vuosilta 1994-1995. Niiden selaaminen tänään, neljännesvuosisata myöhemmin, avaa näkökulmia alan kehitykseen.
Tietoverkko-oppia 1990-luvun tapaan. |
Tietoverkot - opas tulevaisuuden tietoyhteiskuntaan ilmestyi syksyllä 1994. Se oli aikaa, jolloin Al Goren aloitteesta Yhdysvalloissa puhuttiin Information Superhighway -hankkeesta, joka käynnistäisi digitaalisen talouden ja toisi kuluttajille sähköisiä palveluita.
Siihen asti kuluttajien tietoliikenne oli tarkoittanut modeemia ja puhelinverkkoa, joilla asioitiin lähinnä purkeissa (BBS), ja joita käyttivät lähinnä harrastajat. Eikä ihme: kun kirjaa lukee suorastaan hämmästyy sitä tekniikan määrää, joka yhteyteen tarvittiin. Piti olla puhelinlinja, josta maksettiin yleensä minuuttiveloitusta, modeemi, sopiva kaapeli, tietokone, pääteyhteysohjelma... piti osata AT-komentoja modeemin ohjaamiseksi, säätää merkkimuunnostaulukkoa ääkkösten näkemiseksi ja kärsiä linjavirheistä, jotka ilman virheenkorjaavaa modeemia tuottivat näytölle satunnaisia merkkejä. Tiedostosiirtoja varten piti valita protokolla, jota sekä lähettäjä että vastaanottava pääteohjelma tukivat.
Voi pojat (ja tytöt), jos tällaista olisi vieläkin! Voisi ainakin laittaa pahennusta herättäneen twiitin linjavirheiden piikkiin. Toisaalta on selvä, ettei tuona aikana sosiaalista mediaa olisi voinut syntyäkään.
Toisaalta purkit olivat kuin internet pienoiskoossa. Niissä käytiin keskusteluja, ladattiin tiedostojaa, chattailtiin reaaliajassa toisen linjalla olevan kanssa (joissakin purkeissa oli useita soittolinjoja)... joskus niistä pystyi jopa lähettämään sähköpostia internetin puolelle.
Niin, internet. Se löydettiin kuin varkain toteuttamaan Information Superhighwayn tavoitteet. Vielä 1994 Suomenkin operaattoreilla oli omat tietoverkkopalvelunsa (Infotel, Telesampo), joista sai korkeaan minuuttihintaan pörssikursseja, sähköpostia ja sääennusteita. Ei ollut lainkaan varmaa, että Internet (silloin vielä isolla kirjoitettuna) syrjäyttäisi kaikki muut, olihan se hidas ja siellä oli kaikkea haitallista (pommiohjeita, pornoa ja anonyymipalvelin).
Mutta niin vain Internetin ilmaiset palvelut syrjäyttivät muut ja teknisiä puutteita korjailtiin matkan varrella. Tämän vuosituhannen alussa yhteydet muuttuivat kiinteiksi ja nettikäyttö nousi aivan toiselle tasolle. Ilmaisten palvelujen merkitystä netin kuluttajistumisen alkuvuosina ei pidä aliarvioida. Nykyään maksamme siitä hintaa urkintana ja mainoksilla.
Jos haluat tietää, millaista nettikäyttö olisi ilman urkintaa ja mainoksia, katso kirjasta miten esim. maksullinen Compuserve toimi ja millaisia palveluita se tarjosi. Eiköhän jokainen ottaisi mieluummin nykytilan?
Huvittavana yksityiskohtana pistää silmään maininta, miten Valkoiseen taloon ja Bill Gatesille voi lähettää sähköpostia. Kukaan ei osannut kuvitella, että 25 vuotta myöhemmi Valkoisen talon isäntä itse sinkoaisi nettiin lyhyitä viestejä aktiviisesti ja välillä niin alatyylisesti, että omatkin kannattajat toivovat hänen lopettavan. Mitä meillä mahtaakaan olla 25 vuoden kuluttua vuonna 2045?
Internet - verkkojen verkko ilmestyi keväällä 1995. Sen myötä netin voittokulku alkoi jo olla varmaa. Kirjassa esiteltiin netin tuon ajan keskeiset palvelut: sähköposti, html-kieli, selain, Archie, Gopher, Veronica, WAIS, CU-SeeMe, Finger... ai, etkö ole kuullutkaan jälkimmäisistä? Ei ihme. Etkä kuulekaan enää koskaan, sillä nettiyhtiöt poistivat niiden tarpeen tarjoamalla hakukoneita, hienoja selaimia ja videopalveluita. Ei tarvitse enää virittää Winsock-rajapintaa eikä asentaa erillisiä sovelluksia, kaikki hoituu selaimella.
On mielenkiintoista katsoa liitteestä 1 esimerkkejä tuon ajan nettipalveluista. Lisäsin ne kirjaan viime metreillä tammikuun alussa ja muistan, että niiden etsiminen ja kuvailu oli työlästä. Nyt on kuitenkin hauska katsoa, millaisilta näyttivät mm. Microsoftin, Valkoisen talon ja CIA:n ensimmäiset nettisivut. Kotimaiset toimijat, kuten Helsingin Sanomat, MTV ja Finnair, tulivat verkkoon vasta myöhemmin vuoden 1995 aikana. Harmi vain, että tulostinajuri muuttaa kuvat mustavalkoisiksi, vaikka alkuperäisessä tiedostossa ne ovat värillisiä.
Kyseinen vuosi 1995 oli netin kannalta niin tärkeä, että sitä voi pitää kuluttajanetin syntyvuotena. Niinpä netti täyttää tänä vuonna 25 vuotta.
Kirjojen kaivaminen vanhoilta Ami Pro -tiedostoilta vaati työtä, koska ohjelma toimi vain Windows 3.1-versiossa. Olikin ihan unohtunut, miten Windows 3:ssa edes muistin määrä ei auttanut, mikäli järjestelmäresurssit pääsivät loppumaan. Niin kävi helposti, ja tuloksena oli ärsyttävä virheilmoitus:
"Järjestelmäresurssit ovat lopussa." |
Yleensä ainoa tapa jatkaa oli sulkea sovellus, palata DOSiin ja käynnistää Windows uudelleen. Kuulostaa työläältä, mutta vanhassa PC/Windows-ympäristössä kaikki kävi nopeasti. Windows käynnistyi muutamassa sekunnissa.
Pahinta oli, ettei järjestelmäresurssien loppuminen aina paljastunut ajoissa. Muutaman kerran tuloksena oli Postscript-tiedosto, josta puuttuivat ylätunnisteet tai jotain muuta erikoista, ja sen huomasi vasta jälkikäteen. Jouduin tekemään tulostuksen useaan kertaan ja pienissä paloissa, ennen kuin kirjan pdf-versio alkoi näyttää likipitäen samalta kuin paperiversio. Pieniä eroja saattoi silti jäädä.
Toinen ongelma tuli fonteista. Olin käyttänyt taitossa muutamia lisäfontteja, joita ei ollutkaan enää tallella. Niitä piti metsästää netistä, onneksi kaikki kuitenkin lopulta löytyivät. Ilman oikeita fontteja teksti näyttää hieman eri näköiseltä, mutta pahinta on, että sivurajat lähtevät juoksemaan ja kuvien kanssa koko taitto menee sekaisin.
Lisää wanhoja it-kirjoja tulossa pdf-versioiksi mikäli aikaa riittää.
Latauslinkit:
Tietoverkot - opas tulevaisuuden tietoyhteiskuntaan (1994)
Internet - verkkojen verkko (1995)
PC-käyttäjän käsikirja DOS 6.2 (1993)
Windows 3.1 -käyttäjän käsikirja (1993)
Lisäys 29.9.2020:
Lisäys 6.10.2020:
PC-käyttäjän niksikirja (1993)
Windows-käyttäjän niksikirja (1993) (värilliset ruutukuvat)
Piti oikein tarkistaa kaapista, jossa säilön ikivanhoja kirjojani.
VastaaPoistaSieltä löytyy ehdan alkuperäisenä Windows käyttäjän käsikirja (3.0 versiosta tosin)
Ja PC-käyttäjän käsikirja (1986).
Nämä siis löytyy kaapista mutta muistaakseni olen lukenut joka ikisen kirjoittamasi kirjan.
Sekä tietysti monen muun kirjoittaman myös.
Kyllä maailma todellakin oli erilainen. Ennen kaikkea tuolloin oli paljon helpompi tienata tietotekniikka-alalla. Ihan kaikki perustason tietokin kelpasi "suurgurun" maineelle. Edes perusasioiden osaajia oli todella vähän. Nykyisin tarvitaan jo ihan oikeasti sertifikaatteja ja kokemusta. Samoin ala on keskittynyt muutaman ison valtion puuhakentäksi. Tosin evoluutio on tehnyt jo käänteen. Nykyisinkin on taas valtava määrä käyttäjiä, jotka eivät ymmärrä edes "härpäkkeidensä" alkeita. Heti ongelmien tullen taasen apu kelpaa. Tietotekniikasta on tullut yleiskodinkone.
Ollut kyllä kiehtova polku seurata, mistä kaikki on alkanut ja mihin ne on johtanut. Se on ainakin ilmiselvää, ettei kukaan osannut nähdä näin nopeasti ilmiötä, jossa jokaisella on "lätty taskussa" jossa on internet-yhteys jatkuvasti avoinna ympäri maailman. Lätty on niin lompakko, kompassi, kamera, videokamera, valokuva-albumi, parkkimittari, muistikirja, kalenteri kuin pankkipalvelut yhdessä ja samassa rasiassa. Asiaa ei osattu kuvitella edes 2000-luvun alussa vielä.
Yksi asia kuitenkaan ei kaikkien näiden vuosikymmenien jälkeen ole muuttunut. Kirja on edelleen paljon mukavampi lukea kuin näyttöruutu PDF:ää.
Noista alkuaikojen palveluista ihmetyttää se että 90-luvulla piti *maksaa* verkkopankista palvelumaksua. Siis pankki otti maksun siitä että asiakas teki itse asiointinsa!
VastaaPoistaMutta telesampo oli siitä hieno että sieltä pääsi FreeNETin puolelle. Josta sitten saikin esiin gopherin ja monia ftp-palveluita...
Tosin se on sanottava että eivät modeemit ole mihinkään kadonneet. Työssäni tulee lähes viikoittain vastaan ongelmia kun vanhat V.32-modeemit eivät saa yhteyksiä muodostettua eli kentällä olevat laitteet eivät saa soitettua kotiin. (M2M-applikaatio jossa laitteita maailmalla satoja tuhansia. Niitä ei uusita edes vuosikymmenissä. Ja moneen etäiseen kolkkaan ei *ole* muuta yhteyttä kuin se puhelinlinjakupari).
Mitä osaamiseen tulee, internet ja muu teknologia on levittänyt osaamista ja teknisiä välineitä kaikille. Perusosaamisella ei enää voi ansaita (paitsi laiskojen ja uusavuttomien joukossa). Internet on tehnyt jokaisesta "asiantuntijan" (ainakin omasta mielestään). Sama kehitys on käynyt esim. valokuvaajilla, jotka ennen rahastivat mukavasti kameran laukaisimen painamisesta. Nyt jokainen voi ottaa samanlaisia peruskuvia itse kännykällä tai digikameralla. Ammatikseen kuvaavilta vaaditaan paljon enemmän osaamista ja vaivannäköä.
VastaaPoistaVai on V.32-modeemeita vielä noin paljo nkäytössä. Toivottavasti niissä on virheenkorjaus rautatasolla! Olin ihan unohtanut, millainen ongelma se aikoinaan oli, ennen kuin luin kirjastani modeemia käsittelevän kohdan.
VastaaPoistaAi ai, Internet-kirjassa esitellään vain A-, B- ja C-luokan verkot. Kyllä CIDR oli ollut olemassa jo vuodesta 1993 ja luokkaverkoista päästiin jo 1995 kovaa vauhtia eroon :)
VastaaPoistaKun ottaa huomioon, miten pieniä levykkeet ovat, niille mahtuu usko-mattoman paljon tietoa. Käteen tai paidantaskuun sopivalle 1,44 megankorpulle mahtuu noin 1400000 kirjoitusmerkkiä eli noin 700 konekirjoi-tusarkin verran tekstiä. Vertailun vuoksi mainittakoon, että UudessaTestamentissa on hieman yli miljoona merkkiä.
VastaaPoistaHienoja faktoja.
Heh, muista elävästi kun liitin firman internettiin 1994. EUNet antoi koko C luokan, osoitteita oli enemmän kuin tarpeeksi.
VastaaPoistaEnsimmäinen yhteys oli tosin SLIP pohjainen synkronisilla modeemeilla, ja oli aika epästabiili. Reitittimen ja kaiken palvelujen (DNS, SMTP, HTTP) roolissa toimi Yggdrasil Linux. Silloin oli normihommaa laittaa primääri DNS omalle pannulle, ja EUNet hoti sekundaarisen.
Vuoden kanssa tuon kanssa elettiin, ja sitten vaihdettiin puhelinyhtiöiden LanLink:iin. (jos nyt ton nimen oikein muistan). Internet ja osoitteet jatkui yhä EUNetin kautta.
Kesti vuosia, ennenkuin joskus operaattoria vaihdettaessa rupesivat vinkumaan C-luokan palauttamista ja normi NAT viritykseen siirtymistä. Lopulta sekin oli sitten pakko tehdä.
Noista alkuaikojen palveluista ihmetyttää se että 90-luvulla piti *maksaa* verkkopankista palvelumaksua. Siis pankki otti maksun siitä että asiakas teki itse asiointinsa!
VastaaPoistaVerkkopankki taisi olla aluksi maksullinen lisäpalvelu.
Samaa hölmöyttä oli se, kun pankit pitivät luottokortin käyttöä Internet-kaupassa sopimusrikkomuksena ja kortin irtisanomisperusteena. Sain silloiselta kuluttaja-asiamieheltä julkisia nuhteita, kun en varoittanut verkko-ostoksista. Mitähän mieltä
Erik Mickwitz on nykyään verkkokaupoista?
@Petteri
VastaaPoistaNo sen aikaiset verkko-ostokset eivät olleet kummoisesti suojattuja. Ei ollut vielä SSL/TLS salattuja HTTPS yhteyksiä, eikä muita PCI vaatimuksia jne. maksuliikenteen suojaamiseksi. Varmenteiden hankinta oli hankalaa ja yli 40bit suojausta käyttävien salaamisen käyttäminen käytännössä mahdotonta saada käyttöön vielä noin 20v sitten muille kuin pankeille ja vastaaville tahoille jenkkien ulkopuolella. Vahvemmin salaaminen alkoi yleistyä vasta tällä vuosituhannella ja se mahdollisti sen että perusteet laajemmalle ja luotettavammalle kaupankäynnille verkossa syntyivät.
25v sitten verkot LAN osalta olivat jaettua mediaa (10base2 tai-5 ja myöhemmin 10baseT), hubeilla tai silattuja ei vielä kytkettyjä, kaikki liikenne samasssa segmentissä oli triviaalisti kuunneltavissa kun vain haki snifferin verkosta ja laittoi sen koneelle pyörimään. Modeemiyhteydet perinteisen POTS verkon yli olivat sentään hieman paremmin suojattuja piirikytkentäisyyden vuoksi kun sen aikaiset Ethernet ym. pakettiverkot, joissa mitään suojia ei ollut.
SYP Solo pankkiyhteyttä saattoi käyttää jo -80 luvun lopulta asyncronisella modeemilla*, sitten myös hetken telnetillä Joskus hieman ennen -90 puoliväliä mikä oli kyllä sen ajan verkoissa todella hurjaa, jopa edesvastuutonta ja se vaihtui onneksi aika nopeasti SSH:ksi sen julkaisun jälkeen.
*) modeemilla soitto puhelinoperaattorin palvelunumeroon, jossa V.28 PAD valikon kautta X.25 operaattorin pakettiverkon kautta pankin edustakoneelle, jossa sitten kirjautuminen ja päätekäytöllä toimiva pankkiohjelmisto. Puhelinlaitoksilla tämä palvelu tunnettiin nimellä InfoTel ja Telen puolella Telesampo.
Minulla oli kotona X.25 Oulun Puhelimelta, en muista miten se oli toteutettu mutta kotona oli joku päätelaite, hinta oli jotan 35mk/kk. OPOY:llahan tuolloin paikallispuhelut maksoi vain paikallispuhelumaksun joten modeemia pidettiin päällää niin pitkään kun yhteys säilyi. Virheenkorjaava modeemin ostettuani elämä oli mielenkiintoista ja varsinkin kun Oulun Yliopiston kautta pääsi Internettiin (vai miksi tuota yliopisto/korkeakoulujen välistä verkkoa kutsuttiin?)
VastaaPoistaNokialaiset pääsi Vax:ien kautta (olikohan Infotel vai mikä) verkkopankkeihin joita sai käyttää työaikanakin pankkiasionteihinsa. OP:n palveluun piti mennä modeemilla (en ole varma mutta olikohan vielä sellainen takaisinsoittava systeemi???)
SYP:in Solo oli kyllä toimivat verkkopankki silloin mutta en tiedä pärjääkö tänäpäivänä muille verkkopankeille. Asuntolainan johdosta DanskeBank tuli "pääpankiksi" ja se vanha Sampo-pankin verkkopankki toimi OK kunnes DanskeBank "päivitti" omansa java-pohjaisen todella huonosti toimivan verkkopankkin jonka korjaamiseen meni vuosia kausia (joutuivat Tiedolta palkaamaan apua).
Verkkopankki toimii nyt ihan OK mutta ei ottanu DB opiksi, mobiili-pankki appi on huono. En ymmärrä miksi DB tyrii tuollain esim. S-Pankin verkkopankki on toimi täysin alusta lähtien, mobile-appi melkoisen hyvin.
Salattuja yhteyksiä palvelimen ja selaimen välillä oli jo 1994 alkaen. Varmenteet olivat 40-bittisiä, mutta se oli tavalliselle verkko-ostajalle riittävän turvallista. Ensimmäinen julkinen 40-bittisen avaimen murtaminen tehtiin elokuussa 1995, se vei 120 tietokoneelta kahdeksan vuorokautta. Verkkorikolliset olivat tuolloin vielä harvassa.
VastaaPoistaPidemmät 128-bittiset avaimet tulivat käyttöön tammikuussa 2000, kun USA lievensi vientirajoituksia.
Myös KOPin verkkopankkiin pääsi jonkin aikaa salaamattomalla Telnetillä suoraan avoimen netin yli. SE oli riskialtista.
@Petteri
VastaaPoistaSalattuja yhteyksiä palvelimen ja selaimen välillä oli jo 1994 alkaen.
Netscape kehitti SSL ja sillä oli jo versio 1.0 1994, mutta se oli niin rikki, että sitä ei koskaan julkaistu. Ensimmäinen julkaistu verso oli 2.0 vuonna 1995, mutta sekin oli pahasti rikki ja vasta 1996 julkaistu kokonaan uusiksi suunniteltu SSL v3.0 oli ensimmäinen yleiseen käyttöön koskaan tullut versio.
Ja koska se toteutus oli silloin vain ja ainoastaan Netscapen kaupallisessa web-server ohjelmistossa, joka ei ollut halpa, niin yleistyminen ei ollut mitenkään nopeaa, päin vastoin.
Lähinnä pankit, luottoyhtiöt ja maksuliikenteen keskeiset toimijat alkoivat kokeilla Netscapen serveriä ensimmäisenä ja tehdä sen päälle maksupalveluja. O'Reillyn kaupassa sitä ei ainakaan vielä -96 ollut kun sieltä kirjoja etsin ja luotin faksiin enemmän luottokortin käytössä kuten jo -80 luvulta alkaen olin tehnyt ja sähköpostilla saanut listan kirjoista mitä tilata. Amazonia en vielä -90 luvulla käyttänyt, se ei ollut silloin vielä kovinkaan iso ja merkittävä toimija, joten en ole varma olisiko heidän palvelussaan ollut jo silloin SSL käytössä.
Tuohon aikaan yleisin web-serveri oli NCSA-httpd, joka oli varsin reikäinen ja jonka pätsätystä versiosta sitten kehittyi vähitellen Apache http-server projekti. Muitakin oli, CERN:n http-serveri NeXT käyttiksellä, mutta vasta kun Eric Young ja Tim Hudson julkaisi SSLeay:n 1998 loppuvuonna niin sen jälkeen SSL alkoi ilmestyä muihinkin kun vain Netscapen http-palvelimeen.
Sinulla tuntuu oevan olla tapana olettaa, että kun teknologia on julkaistu niin se olisi heti kohta yleisesti käytössä. Se ei kuitenkaan ollut sitä silloin ja vaikka kehityssyklit ovat nykyisin nopeampia, niin jonkun isomman uuden teknologisen murroskohdan asian ensijulkaisusta menee yleensä vuosia, ennen kuin se on todella yleisessä käytössä -- eikä vain messuständeillä ja yhdellä tai korkeintaan kahdella firmalla, joiden tuotteisiin ei välttämättä kaikilla ole varaa tai muuten mahdollisuutta lähteä heti käyttämään.
... jatko
VastaaPoistaVarmenteet olivat 40-bittisiä,
Varmenteet (RSA avaimet varmenteissa) eivät olleet 40-bittisiä missään vaiheessa.
RSA:n avulla vaihdettujen symmetristen salausavaimien pituudet olivat 40-bittisiä RC2 ja RC4 -algoritmeissä, DES:ssä 56bittiä ja RC5:ssa 64-bittiä, mutta jenkkien ulkopuolella vain teoriassa aina vuoteen 2000 asti koska jenkkien EAR (Export Administration Regulations) määritteli vahvaa kryptografiaa sisältävät tuotteet ase-teknologiaksi ja niiden maasta vientiin tarvittiin siksi erillinen lupa.
Siihen asti SSL-salauksen käyttöä yli 40bit avaimilla ohjelmistoissa rajoitettiin teknisesti siten, että vain erillisen luvan saaneille oli lupa myydä palvelin-ohelmistoja jotka neuvottelivat asiakasohjelman kanssa SSL:llä yli 40bit salauksen. Eli jos olit selaimella yhteydessä pankkiin, jolla oli palvelinohjelmistossa erillinen lisenssitiedosto, niin salaus oli protokollien maksimipituus DES:llä 56 tai RC5:llä 64bittiä.
Mutta jos selain oli yhteydessä vaikkapa kirjoja myyvään verkkokauppaan, niin RSA-neuvottelun jälkeen sovitut symmetriset salausavaimet lyhennettiin 40-bit pituisiksi ja sitten niitä käyttetiin.
Lyhyimmät RSA avaimet ovat olleet 512bittiä, sen pituisia olivat varhaisimpien X.509 SSL varmenteiden avaimet. Nykyinen
CA/Browser Forum vaatimus on vähintään 2048bittiä ja sha256 tiivisteellä.
mutta se oli tavalliselle verkko-ostajalle riittävän turvallista.
No ei se kyllä sitä ollut 40bit salauksella edes silloin, Bruce Scheier kirjoittaa Schneier, Bruce (1996). Applied Cryptography (Second ed.). 154 alareunassa DES:stä "... Using an algorithm 64-bit key instead of a 56-bit key makes this attack 256 times more difficult. With 40-bit key, the picture is far more bleak. A network of 400 computers, each capable performing 32,000 encryptions per second, can complete bruce-force attack a 40-bit key in a single day. ..." (lyhyt lainaus, en jaksa kopioda pidempään).
Tuo 400 tuollaista tietokonetta löytyi siihen aikaan helpohkosti keskisuuresta yrityksestä työasemista ja yliopistosta luokkien koneista, jotka eivät olleet siihen aikaan kirjautumista edellyttäviä ja joita käytettiin joskus luvatta yö- ja viikonloppuina koneiden varsinaisten käyttäjien tietämättä tai joskus luvan kanssa tutkimusmielessä kryptojen murtotesteissä tai password-crack testauksessa, jota heikkojen salasanojen käyttäjät saatiin vaihtamaan vahvempiin salasanoihin.
Ad-Hoc GRID-laskentaympäristöjä keksittiin tehdä -90 luvulla seuraavasti. Tekijät kiersivät nippu diskettejä mukana koneiden luona ja boottaili ja sammutetti näytöt. Disketiltä bootattu linux mounttasi verkon yli levyt NFS-palvelijalta, joka ohjasi laskentatehtäviä kullekin koneelle tehtäväksi halutun laskennan osia. Koneet oli ajastettu boottaamaan laskenta-ajan loputtua hyvissä ajoin, jolloin ne boottasivat kovalevyltä normaalisti. Laskentakäyttö ei koskenut mitenkään koneen omiin tiedostoihin, se vain käytti prosessoria, muistia, verkkoa ja sähköä sekä tuotti hieman tavanomaista enemmän lämpöä.
VastaaPoistaNäitä virityksiä paljastui joskus kun kone ei ollutkaan bootannut ja käyttäjä soitti maanantai-aamuna, että kun hänen kone päällä ja täällä on nyt joku Login: ruudulla vaikka tämä on MS-DOS tai Windows kone. Jätän mainitsematta nimiä, mutta muutama hyvinkin pitkälle urallaan päässyt harrasti näitä, senkin jälkeen kun oli jo pari kertaa kielletty.
Kiitos yksityiskohtaisista muisteluista.
VastaaPoistaAjattelemme tietoturvaa eri näkökulmasta, minulle se on muutakin kuin puhdasta tekniikkaa (vaikka DI olenkin). Ehkä 40-bittinen salaus oli mahdollista murtaa 400 tietokoneella -- mutta kuinka monta kertaa niin kävi? Mitä murretulla istuntoavaimella olisi tehnyt vuorokauden kuluttua, kun murto oli valmis?
Montako uutista muistat kaapatuista luottokorttinumeroista? Miksi kukaan olisi lähtenyt murtamaan niitä salatusta web-liikenteestä, kun numeroita sai helpommin skannaamalla smtp-liikennettä, jota ei oltu salattu mitenkään? Ja miksi tyytyä edes sähköpostien urkintaan, kun POP-salasanat menivät iloisesti salaamattomina nekin?
Minulla on se muistikuva, että luottokorttiyhtiöt halusivat hillitä verkkokauppaa koska ne kehittivät SET-maksutekniikkaa. Se pyrki suojaamaan ostajaa epärehellistä kauppiasta vastaan (edes kauppias ei nähnyt luottokortin tietoja).
Itse tein ensimmäisen Amazon-tilauksen 10.7.1996 ja olen tilannut kymmeniä kertoja senkin jälkeen vieläpä alkuperäisellä salasanalla (vaihdoin sen vasta viime vuonna). Ainoa ongelma Amazonin kanssa on ollut se, että kerran alkuvuosina kolmen dvd-levyn sarja tuli kahteen kertaan. Olivat ilmeisesti menettäneet osan toimitustiedostoista ja lähettivät varmuuden vuoksi uudelleen.
Mikroluokissa tapahtui kaikenlaista jännää. Joskus mm. löytyi keyloggereita, jotka ylittivät ihan uutiskynnyksen.
@Petteri
VastaaPoistaAjattelemme tietoturvaa eri näkökulmasta, minulle se on muutakin kuin puhdasta tekniikkaa
Ajattelemme asiaa eri tavalla, koska pyrit edellä rajoittamaan näkökulman vain kadunmiehen näkökulmaksi vaikka pitäisi osata katsoa asiaa riittävän laajassa viitekehyksessä, jotta ymmärtäisi ettei kyse ole vain siitä uskalsiko joku käyttää luottokorttia.
Maksujärjestelmiä rakentavat miettivät sitä myös merkittävninä investointina ja vähänkään isomman investoijan tapauksessa mukaan tulee käytännössä aina myös riskienhallinta.
Tietoturvassa (turvallisuuden) tunteilla on keskeinen sija, erityisesti yksilön tasolla. Mutta sen lisäksi riskien hallinnasta yritysten osalta kun ne päättävät haluavatko ne lähteä mukaan käyttämään jotain teknologiaa ja onko se niille riittävän kannattava bisnes arvioituihin riskeihin.
Silloin kun jonkin teknologian sen riittävän turvallisesti käyttäminen edellyttää turvamekanismeja (security controls), niiden myös katsotaan voinvan pitää sen hetkisen arvion silti tarjoamaan riittävä turvallisuusmarginaali, joka takaa ettei myöhemmin arvioituna käyttöaikana löytyvät puutteet romauta koko mekanismin suojauksia ja käy helposti kun korttitalolle.
Usein käy myös niin, että kun iso riski toteutuu ja josta tulee suora iso taloudellinen menetys, niin myös riski merkittävästä PR-tappiosta, josta seuraa helposti epäsuoria taloudellisia riskejä:
- Vakavat tietoturvaongelmat -> Luottamuksen menetys -> Asiakaskato -> Taloudellinen tapio -> Markkina-aseman menetys -> Luottoluokituksen lasku -> Investoijapako -> Toiminnan kustannukset nousevat kun lainaraha on entistä kalliimpaa -> ....
Riskien hallinnassa ei arvoida siten pelkkää teknologiaa ja minkälaista teoreettista suojaa se antaa, vaan laajasti monien eri osapuolien käyttäytymisestä sekä myös omia kyvykkyyksiä ja sitä miten mahdollisesti hankittavaa teknistä ratkaisua osataan itse käyttää, ettei tehdä isoja virheitä ja mikä luottamus muilla osapuolilla on myös siihen, että kyseinen taho osaa hoitaa asian turvallisesti. Silloin kun ei ole pakosta ryhtyä johonkin toimintaan, niin tavoite on ymmärtää missä vaiheessa teknologiaan on järkevää investoida niin, että riskit pysyvät hallinnassa ja bisneksestä saadaan toimiva sekä riittävän hyvin kannattava, että siihen kannattaa lähteä mukaan.
Sillä ei siten niinkään ole merkitystä, montako kertaa niin todellisuudessa kävi, että joku käytännössä 40-bittisen salatun liikenteen murti ja muuten kuin ehkä proof-of-consept mielessä sitä kokeili. Pelkästään tietoisuus riskistä, että joku saattaisi tehdä niin hidasti merkittävästi ja myös esti isompia investointeja verkkokauppaan ennen kuin turvallisuusmarginaali vasta sitten 128-bittisen salauksen myötä koettiin riittävän turvalliseksi kaikkien osapuolien osalta, jotta todellinen kasvu SSL:n suojatun liikenteen käytöstä alkoi vuosituhannen vaihteen jälkeen.
.. jatko
VastaaPoistaMiksi kukaan olisi lähtenyt murtamaan niitä salatusta web-liikenteestä, kun numeroita sai helpommin skannaamalla smtp-liikennettä, jota ei oltu salattu mitenkään? Ja miksi tyytyä edes sähköpostien urkintaan, kun POP-salasanat menivät iloisesti salaamattomina nekin?
Se on totta, että luottamuksellisia tietoja kulki salamattomana SMTP, POP3 ja IMAP protokollilla, mutta minusta silloin luotettiin siihen, että kun niitä ne nyt vain silloin tällöin kun läheteltiin, niin ne edustivat hyvin pientä osaa kaikesta siitä liikenteestä noilla protokollilla ja juuri noiden tietojen urkkiminen olisi sieltä työlästä.
Mutta se ei turvallista ollut, koska snifferiin sai myös silloin helposti tehtyä konfiguroitavan regex filtterin, jolla vain haluttua tietoa paketeista helposti saattoi poimia, tallettaa levylle tai lähettää verkon yli saman tien niin pitkälle kun Internetillä yhteys onnistui. Sellaisen tekeminen ei ollut osaavalle ohjelmoijalle yhtään sen vaikeampaa kun jo sen muun snifferin koodaaminen. Skript-kid sellaista ei olisi osannut itse tehdä, mutta toki sellaista käyttää jos sen toinen ensin teki.
... koska ne kehittivät SET-maksutekniikkaa.
Se oli vasta heti vuosituhannen vaihteen jälkeen kun EAR myös rajoitukset jo helpottivat.
Mikroluokissa tapahtui kaikenlaista jännää.
Varsin kekseliäitä virityksiä tuli vastaan ja villein vaihe ei helpottanut vielä silloinkaan kun tuli keskitetyt käyttäjänhallinnat (Netware & AD) vaan vasta sitten kun opiskelijakylien asuntolat verkotettiin ja muuten laajakaistayhteydet tulivat laajemmin saataville. Niiden myötä omat koneet lisääntyivät ja luokkien ilta- ja yökäyttökin väheni nopeasti.
Samoin 9/11 aiheutti muutoksen ilmapiirissä ja turvallisuuteen alettiin kiinnittää enemmän huomiota josta seurasi kulunvalvonnan, kameravalvonnan, koneiden lukitsemisten ym. osalta tiukennuksia. Vahti yhteistyöllä ja ohjeilla oli merkittävä vaikutus julkisen hallinnon ulkopuolellakin moniin käytäntöihin.
niin ne edustivat hyvin pientä osaa kaikesta siitä liikenteestä noilla protokollilla ja juuri noiden tietojen urkkiminen olisi sieltä työlästä.
VastaaPoistaEi kai? Oli triviaalia asettaa snifferi kuuntelemaan verkkoa ja poimimaan sieltä halutun protokollan suojaamattomat salasanat. Sähköposti pollasi viestejä muutaman minuutin välein, kun taas https-yhteyksiä pankkeihin tai verkkokauppoihin otettiin korkeintana kerran päivässä. Joskus tietoturvaluennoitsijat poimivat yleisön läppäreistä salasanoja jopa luennon aikana.
SET-konsortio (lähinnä VISA ja Mastercard) tekniikkaa kehittämään perustettiin jo 1996. Pankit kehottivat nettikäyttäjiä odottamaan, kunnes SET valmistuisi ja tekisi verkkomaksamisesta turvallista.
@Petteri
VastaaPoistaEi kai? Oli triviaalia asettaa snifferi kuuntelemaan verkkoa ja poimimaan sieltä halutun protokollan suojaamattomat salasanat.
Oli toki, kuten kirjoitin heti siinä seuraavassa kappaleessa ja jota et ilmeisesti ajatuksella malttanut lukea. Mutta, mielestäni ihmiset yleisesti eivät suhtautuneet tietosuojaan ja turvaan kovinkaan vakavasti. Lähinnä oltiin huolissaan viruksien saamisesta koneelle, mutta muuten oltiin yleisesti aika naiiveja jakamaan omia henkilötietoja. Omia tunnuksia jaettiin käyttöön puolisolle ja lapsillekin, jopa pankkitunnuksia. Ajateltiin, että ei siellä sähköpostissa mitään niin tärkeää ole ja mitä sitä nyt joku hänen sähköpostissaan olevilla tiedoillaan tekisi.
Tietysti oli vaaroja tiedostavia ihmisiä, mutta suurin osa tavallisista käyttäjistä, jotka verkkoa vasta olivat alkaneet käyttää ei kovin valveutunut tietosuojan ja siihen olennaisesti liittyvän tietoturvan merkityksestä vielä siinä vaiheessa ollut.
SET-konsortio (lähinnä VISA ja Mastercard) tekniikkaa kehittämään perustettiin jo 1996. Pankit kehottivat nettikäyttäjiä odottamaan, kunnes SET valmistuisi ja tekisi verkkomaksamisesta turvallista.
Niin alkoivat ja niin kehottivat, mutta lankesit jälleen tässä siihen samaan mistä muistutiin jo tuolla ylempänä aiemmin. Se että jokin yhteistyö-instanssi perustetaan tai tuote julkaistaan on yleensä vielä vuosia matkaa siihen, että se on yleisesti saatavissa, sellaisin hinnoin ja niin valmiina tuotteena, että siitä tulee kannattava bisnes sen käyttöä suunnitteleville ja riittävän hyvin toimiva käyttäjäkunnan näkökulmasta.
Hyvin harvoin joku tuote tai palvelu omaksutaan saman tien kun se on julkaistu ja lähes poikkeuksetta kaikki mihin liittyy olennaisesti raha, kuten maksaminen on, muutokset ovat hitaita. Toki on aina ns. varhaisten omaksujien joukko jolla on tarve päästä kokeilemaan heti kaikkea uutta aina heti ekana, mutta heitä on vain 10%-15% väestöstä, sillä pohjalla ei vielä isompia investointeja tarvitsevassa bisneksessä saada liiketaloudellisesti kannattavaa. Useimmat katselevat rauhassa ja alkavat tehdä päätöksiä mukaan lähtemisestä vasta jos varhaisesta enemmistöstä alkaa näkyä liikettä halusta ottaa palvelu tai tuote käyttöön.
Niin alkoivat ja niin kehottivat, mutta lankesit jälleen tässä siihen samaan mistä muistutiin jo tuolla ylempänä aiemmin. Se että jokin yhteistyö-instanssi perustetaan tai tuote julkaistaan on yleensä vielä vuosia matkaa siihen, että se on yleisesti saatavissa
VastaaPoistaPointtini oli nimenomaan se, että pankit ja kaupat neuvoivat asiakkaita odottamaan, kunnes verkkokaupasta tulisi SETin myötä turvallista. Tämä neuvo oli saatavissa heti ja se myös vaikutti heti, ilmeisesti jopa virkamies Mickwitzin ajatteluun.
Kokonaan toinen juttu on, että SETistä tuli kankea ja monimutkainen, ja vaikka se lopulta valmistui, ei sillä ollut enää vaikutusta verkkokauppaan tai sähköiseen asiointiin, jotka olivat yleistyneet omalla painollaan.
Tietoverkkokirjan sivulla 340 oleva ennustus maailman monimutkaistumisesta ja helppoja ratkaisuja tarjoavista populisteista osuu pelottavan hyvin.
VastaaPoistaEi sikäli, kyllähän vaikka Jyrki Kasvi ennusteli jo -90 että netin ongelma tulee olemaan se että voi seurustella vain niiden miljoonien ihmisten kanssa joitten kanssa haluaa seurustella, eikä ole pakotettu kohtaamaan muita mielipiteitä omaavia ihmisiä.
Joskus julkisen netin alkuaikoina tuli mieleen lause, jonka kirjoitin johonkin kirjaankin:
VastaaPoista"Internet yhdistää ihmisiä maiden välillä ja erottaa heitä maiden sisällä".
Pitää tänään hyvin paikkansa.
Mutta niin vain Internetin ilmaiset palvelut syrjäyttivät muut ja teknisiä puutteita korjailtiin matkan varrella. Tämän vuosituhannen alussa yhteydet muuttuivat kiinteiksi ja nettikäyttö nousi aivan toiselle tasolle. Ilmaisten palvelujen merkitystä netin kuluttajistumisen alkuvuosina ei pidä aliarvioida. Nykyään maksamme siitä hintaa urkintana ja mainoksilla.
VastaaPoista2000-luvun vaihteessa yleinen suhtautuminen Internetiin muistutti melkein kommunismia (vaikka olikin kuluttajalähtöistä). Niin yber-hieno keksintö se silloin oli. Internet on jossain mielessä onnistunut valloittamaan maailman.
Mutta nyt netti-sanaa kuulee enää harvoin. Kuluttajat puhuvat palveluista, sovelluksista ja ehkä joskus sivuistakin. En tiedä millainen palvelu Telesampo oli, mutta miten se olisi voinut olla huonompi vaihtoehto kuin nykyajan internetin kautta toimivat palvelut?
HTTP alkaa olla ainoa kuluttajalle näkyvä protokolla. Sähköpostia voi käyttää vielä joihinkin erityistarpeisiin. IPTV lienee hävinnyt. IRC on vanhentunut. Palvelunestohyökkäykset romuttavat vapaata internettiä, mutta myös sen monimutkaisuus ja tehottomuus.
Muistan itsekin 90-luvun alussa kun opettelin erilaisten ohjelmien käyttöä monista oppaista. Nykyään olisi hassua jos joku kaivaisi kirjan esille etsiessään vastausta johonkin tietotekniseen ongelmaan. Internet on kyllä mullistanut maailmamme täysin. Kiitos linkeistä pdf-tiedostoihin, täytyy käydä lukemassa!
VastaaPoistaLuottokorttikaupathan ovat myyjälle iso riski, kun ostaja pitäisi voida jotenkin tunnistaa. Jos suostuu jotain myymään pelkällä luottokortin numerolla ilman muuta vahvistusta (ja jos pankki/luotonantaja sen sallii), riitatapauksessa pankki perii summan + kulut myyjältä, jos voi.
VastaaPoistaEli SET/EMV tarkoitus on suojella myyjiä ja pankkeja, ei kuluttajia.
Todellinen ongelma on se että tietosuojavaltettu esikuntineen puuhastelee täysin merkityksettömien asioiden parissa kuten esimerkiksi tämä taloyhtiö ja älylukot.
VastaaPoistahttps://www.tekniikkatalous.fi/uutiset/taloyhtio-asensi-sahkolukot-kayttajat-tietyin-ehdoin-tunnistettavissa-syntyy-henkilorekisteri/c9edb49a-be3b-491a-b7c7-742e51ad3cbe
Sen sijaan kansalaisten turvallisuuden, henkilöllisyyden ja terveystietojen omilla välipitämättömillä toimillaan vaarantavat sosiaali- ja terveyssektorin tahot kuten Vastaamo saa puuhasteella 45 000 asiakkaan tietokannan kanssa ihan miten haluavat vain koska B-luokka ja laki.
Ainoa onni tässä helvetin ikävässä jutussa on se että tähän pakko tulla muutos ja suunta tulee olemaan se ettet puuhastele mitään sosiaali- ja terveyssektorilla ennen kuin tietojärjestelmät on auditoitu ulkopuolisen toimesta.
Ottaisikohan Kansalliskirjaston digitaalinen vapaakappalekokelma vastaan tuon kirjan digimuodossa? Niin voisi säilyä myös seuraavat 250 vuotta.
VastaaPoistaKirjasi ovat oikein hyvää luettavaa tänäkin päivänä. Niissä on perusasioita joita jokaisen syvemmin tietotekniikkaam paneutuvan olisi hyvä osata. Perusasiat kun eivät juuri ole muuttuneet miksikään.
VastaaPoistaKiitos mielenkiintoisesta kirjoituksestasi digitalisointiprojektistasi. Hienoa, että digitalisaatioon panostetaan nykyään niin paljon ja monet innovaation ovat kakkien käytössä, eikä internetin käyttö vaadi enää erikoisosaamista. Ystäväni työskentelee toimistossa, jossa pyritään vähentämään paperin käyttöä ratkaisevasti, ja kaikki mahdolliset tiedostot ja dokumentit ovat digitaalisessa muodossa. Heillä kävi digitalisaation ammattilaiset konsultoimassa, kuinka digitalisointi olisi paras toteuttaa. https://www.xsolutions.fi/
VastaaPoista