maanantai 12. huhtikuuta 2021

Koronavirus ja numeroharha

Menin tekemään aloittelijan mokan: lähdin hetkeksi väittelemään erään koronaänkyrän kanssa. Hän väitti itsepintaisesti, että viranomaiset liioittelevat koronaviruksen vaaraa. Suomen pitäisi löysätä rajoituksia, avata palvelut ja antaa kansan taas liikkua, sillä "eihän korona ole sen vaarallisempi kuin normaali flunssakaan".

Persu tietenkin, pitihän se arvata. Ja vielä ehdolla kunnallisvaaleissa.

Jostain syystä nämä koronaänkyrät ovat lähes poikkeuksetta perussuomalaisia. Siis heitä, jotka "ajattelevat mieluummin omilla aivoillaan" eivätkä noudata viranomaisten määräyksiä. Itseäni huvitti, kun puolueen puheenjohtaja Halla-aho muutama viikko sitten A-Talkissa sanoi sulkutilan olevan turha, sillä suomalaiset ovat tottelevaista kansaa ja pelkät suositukset riittävät.

Eivät riitä, eivät ainakaan Halla-ahon oman puolueen jäsenille.

Tämäkin änkyrä vetosi kuolleisuuslukuihin. Suomessa on koronaan kuollut alle tuhat ihmistä, enimmäkseen vanhuksia. Eihän se kuulosta lainkaan pahalta eikä anna syytä sulkea ravintoloita ja muita palveluita.  Ruotsissa kuolleita on yli kymmenkertaisesti, vaikka väkiluku on vain kaksinkertainen. Brasilian katastrofaalista tilannetta änkyrä piti median liioitteluna. "Iso maa, saman verran siellä kuolee normaalistikin." Just.

Änkyrä oli vähemmistössä, mutta ei suinkaan yksin. Viikonloppuna muutama sata ihmistä osoitti Helsingissä mieltään koronarajoituksia vastaan. He eivät halua, että valtio suojelee kansalaisiaan. Jokaisen pitäisi saada itse päättää, haluaako ottaa riskin ja tartuttaa muita.

Änkyrän takertuminen kuolinlukuihin on yleinen harha. Kun asia on mutkikas, ihmismielellä on tarve supistaa se yhteen, helposti käsiteltävään numeroon. Esimerkiksi digikameroissa kilpailtiin aikoinaan sillä, kenellä on eniten megapikseleitä. Se johti kilpavarusteluun, jossa pikselimäärät kasvoivat mutta kohina kasvoi vielä enemmän. Tiedostokoot kasvoivat, mutta informaation määrä ei lisääntynyt, ja subjektiivinen kuvanlaatu jopa huononi.

Digikamera oli tyypillinen kohde, jota on vaikea mitata. Kohinalle, kennon herkkyydelle, valotusautomatiikalle ym. ei ole helppoja mittareita. Niinpä mainostajien ja ostajien huomio kohdistui yhteen lukuun, joka ei kertonut oikeastaan yhtään mitään.

Koronan tapauksessa kuolleet eivät ole suurin ongelma. Suomen tapauksessa suurin ongelma on terveydenhuollolle koituva rasitus. Tehohoitopaikat menevät koronapotilaille, muita leikkauksia joudutaan lykkäämään, syöpä- ym. diagnoosit viivästyvät. Kansanterveys maksaa koronahintaa vielä vuosia sen jälkeen, kun akuutti epidemia on mennyt ohi.

Toinen uhka ovat mutaatiot. Mitä enemmän virus saa levitä, sitä enemmän se mutatoituu. Osa mutaatioista on vaarattomia, jokin niistä voi olla todella tappava. Osa oppii kiertämään rokotteita, mikä vähentää rokotusten hyötyjä ja pakottaa kehittämään uusia rokotteita.

Joillekin sairastetusta koronasta jää pitkävaikutteisia oireita, jotka näkyvät alentuneena työkykynä ja henkisenä kärsiymyksenä.

Mitään näistä ei voi pukea yhdeksi luvuksi. Siksi "omilla aivoillaan ajattelevat" persut eivät huomioi niitä lainkaan. 

Sodassa tavoitteena on tappaa vastapuolen sotilaita. Jokainen kenraali tietää, että haavoittaminen on tappamista tehokkaampaa. Haavoittunut sotilas sitoo pelastushenkilökuntaa, kuormittaa terveydenhuoltoa ja jättää usein pysyvää yhteiskunnan tukea vaativan uhrin. Kaatunutta sotilasta surraan aikansa, ja sen jälkeen asia on selvä. 

Kuolleet eivät ole ongelma. Elävät ovat.

Elävistä puheenollen, poimin tähän loppuun some-palstalla juuri silmään sattuneen kommentin eräältä sairastuneelta: 

"2 viikkoa ollaan nyt sairastettu ja voin sanoa, että ikinä en ole ollut näin kipeä. 5. yö lähtee Jorvissa, puoliso siirrettiin juuri tehohoitoon."

Ei kuulosta pikkuflunssalta, joka iskee vain vanhuksiin.

Kuka käskee persuja "ajattelemaan itse", jos eivät pysty ottamaan huomioon kuin yhden luvun kerrallaan, ja pönkittämään omia ajatuksia somekuplan keskinäisellä kehumisella?

keskiviikko 7. huhtikuuta 2021

Facebook-vuodon jälkipyykkiä

Facebook on antanut oman selityksensä tietovuodolle. Sen mukaan kyseessä oli tekniikka, jolla Facebookista pystyttiin etsimään ihmisiä puhelinnumeron avulla. Joku oli tehnyt Facebookia matkivan sovelluksen, joka etsi suuren määrän ilmeisesti satunnaisia puhelinnumeroita ja keräsi niihin liittyviä julkisia tietoja (nimi, työnantaja, parisuhdestatus ym) tiedostoksi.

Mikko Hyppönen kutsui temppua varkaudeksi. Verbi varastaa on tässä yhteydessä raju. Jos puhelinnumerot löytyvät kokeilemalla, onko niiden kerääminen varkaus? Entä niiden takana olevien tietojen yhdistäminen tiedostoksi? Perinteisen maailman käsitteiden soveltaminen digimaailmaan ei ole ihan suoraviivaista.

Tuloksena oli joka tapauksessa jättikokoinen tietokanta ja tietosuojakohu, joka sai pääsiäisen pyhinä monet huolestumaan. Suomalainen Teemu kehitti pikavauhtia vuoto.fi-palvelun, josta pystyi tarkistamaan, oliko oma puhelinnumero vuodettujen joukossa. Palvelu perustui Teemun numeroista laskemiin sha-1-tiivisteisiin, joten kenenkään ei tarvinnut lähettää numeroaan palveluun. 

Ei kestänyt kauaa, ennen kuin muutamat tietoturvatutkijat olivat ladanneet Teemun kokoamat tiivistelistat ja palauttaneet muutoin yksisuuntaisen funktion takaisin alkuperäisiksi numeroiksi. Näin saatiin siis lista kaikista puhelinnumeroista, joita vuodossa oli.

Tämä kuulostaa pahalta, mutta lista ei muutenkaan ollut kovin salainen, sillä kohu nousi juuri siitä, että alkuperäinen lista tuli avoimeen verkkoon helposti löydettäväksi. Ja siinä listassa oli numeroiden lisäksi kaikki muutkin henkilötiedot. 

Jokainen tietoturvatutkija alkuperäisen listan helposti käsiinsä, joten sinällään sha-1-kääntö oli täysin turha. Se kuitenkin osoitti, miten vaikeaa on tarjota tietoa pseudonymisoituna tai osittain salattuna. Sha-1 tiedetään haavoittuvaksi, vaikka esimerkiksi Have I Been Pwned -palvelu käyttää juuri sitä. Puhelinnumerot oli helppo löytää kokeilemalla, koska niiden avainavaruus on suppea esimerkiksi salasanoihin verrattuna.

Vuoto.fi tarkistuspalvelu

Oliko Teemun tarjoama palvelu laiton, vaarallinen vai yleisölle hyödyllinen? Teemu itse ei juridiikkaa pohtinut. Vaikeaa se on asiantuntijallekin, edes näin jälkikäteen.

Viestintäviraston edustaja kritisoi palvelua sanoen "sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää". 

Miten vuodosta huolestuneen kansalaisen olisi siis pitänyt menetellä? On inhimillistä haluta tietää, ovatko omat tiedot vuotaneet, vaikkei asialle voinutkaan tässä tapauksessa tehdä mitään.

Miksei Kyberturvallisuuskeskus tai poliisi tarjonnut tarkistuspalvelua? Niillä olisi ollut resursseja palvelun turvalliseen toteuttamiseen ja nähdäkseni myös lainmukainen käsittelyperuste.

Ilman Teemun palvelua moni kansalainen olisi lähtenyt hakemaan listaa ja ladannut sen kaikkine tietoineen itselleen. Tämä olisi ollut kokonaisuutena paljon huonompi vaihtoehto kuin helpon tarkistuspalvelun tarjoaminen.

Tällä hetkellä viranomainen suosittelee käyttämään Microsoftin työntekijän Troy Huntin perustamaa Have I Been Pwned -palvelua, johon vuodetut puhelinnumerot lisättiin juuri (kun vuoto.fi avattiin, HIBP käsitteli vain sähköpostiosoitteita ja salasanoja). Suositus on yllättävä, sillä australialaisen yksityishenkilön pyörittämällä palvelulla ei käsittääkseni ole laillista perustetta suomalaisten henkilötietojen käsittelyyn ja palvelun tarjoamiseen EU-alueelle. Voi epäillä, että palvelu on GDPR:n vastainen. Jos ei ole, tuskin on vuoto.fi palvelukaan, koska molemmat tekevät pohjimmiltaan saman asian.

Tämä ei jää viimeiseksi tietovuodoksi. Toivottavasti tiedottamista varten saadaan luotua selvät pelisäännöt ja pohdittua juridinen pohja kuntoon. Ei voi olla niin, että tietosuojalait estävät vahingoista kertomisen ja kansalaisten oikeutettuun huoleen vastaamisen, samalla kun viranomainen vetoaa kaiken kieltävään tietosuojalakiin. Uhreillakin on oikeutensa.

PS. Joku juristi voisi pohtia sitäkin, onko pelkkä puhelinnumeroiden lista (ilman nimiä tai mitään muita henkilötietoja) tietosuojalakien alainen? Onko pelkkä absoluuttinen numerosarja henkilötieto?

sunnuntai 4. huhtikuuta 2021

Maailman suurin puhelinluettelo - Facebookin tuore tietovuoto

Eilen 3.4.2021 joku vuoti Facebookilta pari vuotta sitten kaapatut käyttäjänimet ja puhelinnumerot verkkoon valtavana kokoelmana, jossa on yhteensä 533 miljoonan ihmisen tietoja. Suomen listassa on yhteensä 1 381 569 nimeä. Jostain syystä listan lopussa on kuitenkin suuri joukko Arabiemiraattien kansalaisia ja heidän tietojaan, joten suomalaisten numeroiden osuudeksi jää 1 214 441.

Kyseessä ei ole tavanomainen tietomurto, sillä tiedosto ei ole käyttäjätietokanta. Pikemminkin tiedot on kerätty koneellisesti jonkin porsaanreiän tai haavoittuvuuden kautta. Kaikista henkilöistä on puhelinnumero, Facebookin käyttäjänumero (joka on samalla hänen FB-sivunsa osoite) sekä nimi. Useimmista on sukupuoli (664 794 male, 544 908 female); joistakin lisäksi koti- ja syntymäkaupunki,  parisuhdestatus (Married, Single, Divorced, In a relationship ym), työnantaja (yrityksen/organisaation nimi) sekä syntymäaika. Sähköpostiosoitteita on 11 537 suomalaisen kohdalla.

Yksi rivi tiedostosta.

Joillakin tiedoissa näkyy vuosiluku (kuten itselläni 1987), joten sen täytyy olla valmistumisvuosi. Sukunimen ääkköset ovat UTF-muodossa, joten ne näkyvät Windowsin komentotulkin ikkunassa väärin.

Tiedot on kasattu jo 2019 ja niitä on myyty pimeässä verkossa. Tapaus uutisoitiin jo tuolloin. Voi olla, että saamasi huijauspuhelut ovat tulleet juuri tämän tietovuodon perusteella.

Facebook on itse vähätellyt tapausta, tietenkin. Mikään ei poista sitä vastuuttomuutta ja huolimattomuutta, jolla yritys on henkilötietoihin suhtautunut. Tämäkin vuoto on tapahtunut yli vuosi GDPR:n voimaantulon jälkeen, joten Facebookin olisi pitänyt tiedottaa asiasta paremmin. Olisi ihme, jos tästä ei tule firmalle isoja sakkoja.

Mutta minkälainen riski tämä on? Yleensä tietoturvatapauksia paisutellaan ja uhkia liioitellaan, varmuuden vuoksi. Kaikkia kerrannaisvaikutuksia on vaikea hahmottaa, mutta yritetään arvioida asiaa realistisesti. 

Joukossa ei ole kotiosoitteita eikä salasanoja, henkilötunnuksista tms. puhumattakaan. Tämä vähentää riskejä. Sähköpostiosoite on useimmilla Gmail-tyyppinen ilmaisposti, mitä yleisesti käytetään some-palveluissa. Se vähentää esimerkiksi Office 365-hyökkäysten vaaraa.

Merkittävintä tässä vuodossa on tietojen määrä. Yli puoli miljardia tietuetta on valtava määrä, vaikkei ennätys olekaan. Kyse on kuin maailmaan suurimmasta puhelinluettelosta, jossa on 106 maan ihmisen tietoja. Mitä vaaraa on puhelinluettelosta? Ennen niitä jaettiin koteihin painettuina. Mutta silloin luettelot olivat kansallisia eikä niiden tietoja voinut hyödyntää koneellisesti. Helsingin Puhelimen luettelo ei takuulla kiinnostanut aasialaisia tai afrikkalaisia rikollisia. 

Netin ansiosta nyt on toisin. Puhelinnumeroita voi käyttää huijauspuheluihin ja valheellisten sms-viestien lähettämiseen ("Olet saanut paketin...") vaikka toiselta puolelta maailmaa. Suurin vahinko on niillä, joiden puhelinnumero on salainen. Sen vuotaminen voi tietää monenlaisia harmeja ja pakottaa vaihtamaan numeroa.

Ehkä jotain nyt vuotaneita tietoja voi yhdistellä aiemmin vuotaneisiin tietoihin, mutta siinä pelkkä nimi on huono yhdistelyavain, eivätkä roistot halua tehdä käsityötä. Tältä osin pidän riskiä pienenä.

Listassa on henkilötietoja, jotka ao. henkilön profiilissa eivät näy ainakaan julkisesti (ei-kavereille). Kyse ei siis ole vain Facebookin julkisten tietojen vuotamisesta, vaan myös luottamukselliseksi tarkoitettuja tietoja on mukana. Erään kunnallisvaalien ehdokkaan sähköpostiosoite on listalla seta.fi-loppuinen, mikä saattaa olla henkilön itsensä mielestä arkaluontoinen tieto. 

On luultavaa, että lista alkaa levitä laajasti myös Suomen sisällä. Varsinkin puhelinmyyjien luulisi olevan siitä kovin kiinnostuneita, vaikka listan käyttö laitonta olisikin. Tämä voi näkyä jatkossa markkinointipuheluiden määrän kasvuna. 

Mitä siis nyt kannattaa tehdä?

Listassa ei ole läheskään kaikkia Suomen Facebook-käyttäjiä. Jos on käynyt vähänkin tuuri, omia tietoja ei listalta löydy. Vuodettuja tietoja on 1,2 miljoonaa, suomalaisia Facebook-käyttäjiä 2,7 miljoonaa -- on siis todennäköisempää, että juuri sinun tietojasi EI ole vuotanut kuin että niin on käynyt (vaikka Ylen uutisen otsikko sanoo toisin).

Netissä on palveluita, joista voi tarkistaa, onko itse ollut mukana tietovuodoissa (kuten Haveibeenpwned). Tällaisia palveluita on myös Suomessa, esimerkiksi Badrap.io ja F-Secure Identity theft checker. Niissä avaimena on aina sähköpostiosoite, joten tässä tapauksessa vain runsaat 11 500 suomalaista saa tiedon asiasta. Tietääkseni mikään tarkistuspalvelu ei vielä toimi puhelinnumeron perusteella, mutta nyt olisi hyvä syy lisätä se hakutekijäksi.

Niille, joiden tiedot ovat mukana, en voi antaa muuta neuvoa kuin odottaa ja seurata tilannetta. Tietoja ei saa pois. Facebookin salasanaa ei kuitenkaan tarvitse tämän vuoksi lähteä vaihtamaan. Facebookista eroamista jokainen lienee harkinnut jo aiemmin, eri syistä. Palvelusta on kuitenkin myös paljon hyötyä, joten itse en kehota ketään kategorisesti eroamaan somepalveluista.

Valitettavasti tämä on muistutus myös siitä, miten suojattomia olemme edelleen, tiukasta GDPR-tietosuojasta huolimatta. Vahinkoja sattuu edelleen eikä edes miljardisakkojen uhka saa yrityksiä toimimaan virheettömästi.

Ainoa varma tapa suojata omia tietojaan on olla luovuttamatta niitä. 

PS. Nyt illalla on avautunut suomalainen sivu, jolta voi tarkistaa, onko oma puhelinnumero vuodettujen joukossa: https://vuoto.fi/. Tein muutamia kokeiluita ja se näytti antavan oikeita tuloksia.