Linkit

tiistai 28. helmikuuta 2023

Ministeri Lintilän WhatsApp-sotku uhkaa jäädä selvittämättä

Ministeri Mika Lintilä hämmästytti helmikuun alussa väittämällä, että hänen puhelimensa oli kaapattu ja siitä lähetetty meemikuva keskustapuolueen sisäiseen ryhmään.

On helppo ymmärtää, että yllättynyt ministeri esitti varomattomia väitteitä, joita hän seuraavalla viikolla veti jo takaisin. Puhelinta ei kaapattu, vaan kyse saattoi olla rinnakkaiskäytöstä, toisin sanoen joku toinen oli linkittänyt tietokoneensa ministerin puhelimen Whatsappiin ja pystyi viestimään tämän puolesta.

Mutta kuka ja miksi? Mikään valtiollinen hakkeri ei lähettäisi puhelimesta meemikuvaa ja paljastaisi siten itseään. Asialla täytyi olla joku suomalainen - joko Lintilä itse, joku perheenjäsen, avustaja tai muu ulkopuolinen. 

Lintilän kannalta asiassa on vain huonoja vaihtoehtoja. Ministeri itse kieltää lähettäneensä meemikuvaa vahingossa väärään ryhmään, joten todennäköisiä vaihtoehtoja ovat avustaja tai joku ulkopuolinen, joka on päässyt ministerin puhelimeen. Linkitys tehdään ottamalla kuva toisen koneen näytöltä, joten tekijän on käytännössä pitänyt saada puhelin haltuunsa. Etäyhteydellä linkitystä ei voi tehdä.

Jos kyse on avustajasta, ministerin luulisi tietävän asiasta ja kertovan, että asia tuli selvitettyä. Miksi kukaan avustaja haluaisi tehdä tällaista salaa ja asettaa päämiehensä hankalaan asemaan juuri vaalien alla?

Jos kyse on ulkopuolisesta, tilanne on vielä pahempi. Miten joku voi päästä käsittelemään ministerin puhelinta? Eikö puhelin ollut lukittuna? Ministeri ei voi jättää puhelintaan valvomatta ja lukitsematta. Vähintäänkin hän on rikkonut eduskunnan omia tietoturvaohjeita.

Rinnakkaiskäytön varalta kannattaa tarkistaa, ettei kolleega tai joku kotipiirissä ole ryhtynyt vakoilemaan puhelinta. Se on onneksi helppo tarkistaa puhelimen WhatsAppista (kohta Linkitetyt laitteet).

Tarkista puhelimen WhatsAppiin linkitetyt muut tietokoneet

Lintilä ilmoitti pyytäneensä GDPR:n nojalla Metalta lokeja WhatsAppista. Hän kuitenkin ilmoitti, ettei osannut tulkita niitä. Tänään eduskunnan tietohallinto toisti kantansa siitä, ettei tietohallinnon tekemä selvitys tapahtuneesta ole julkinen.

Lokeista ei välttämättä selviä paljonkaan. Pyysin tiedot omasta Whatsappista ja niiden mukaan Meta oli tallentanut vain viimeisimmät IP-osoitteet sekä mobiililaitteelta että pöytäkoneelta.

Pätkä Metan lähettämää lokia

Toinen laitteista on sisäverkossa, toinen mobiilidatassa. Jos lokit on pyydetty vasta seuraavana päivänä tai myöhemmin, relevantti tieto on ehkä jo poistunut. Sisäverkon IP-osoite ei sinällään kerro paljonkaan, ei liioin mobiililaitteen IP-osoite, jos se on operaattorin verkossa. Vain poliisitutkinta voisi selvittää, kenen käytössä nämä osoitteet ovat tapahtumahetkellä olleet, ja sekin tieto voi olla jo vanhentunutta. Osoitteiden selvittäminen vaatisi rikosilmoituksen tekemistä, mutta mikä tässä olisi rikos? Meemikuvan lähettäminen ei ole, voisiko jonkinlainen tietomurto tai luvaton käyttö tulla kyseeseen?

On todella vahinko, jos Lintilän tapaus jää ikuiseksi arvoitukseksi. Suuren kohun ja vastuullisen aseman vuoksi tapahtuneella olisi valtakunnallista merkitystä, ohi tavallisten tietoturvakysymysten. 

Ja jos ministeri pääsee eroon kiusallisesta tilanteesta syyttämällä jotain ulkopuolista toimijaa, muut tulevat jatkossa käyttämään samaa tekosyytä omien mokiensa peittämiseen.

Lisäys 3.3.2023: Mika Lintilän alkoholinkäyttö virkatehtävissä on herättänyt huomiota. Olisi aika pettymys, jos kaiken kohun ja kiistämisen jälkeen kävisi ilmi, että ministeri on sittenkin itse lähettänyt meemin omasta puhelimestaan. 

torstai 23. helmikuuta 2023

Iltalehden sovelluksen kryptohuijaus pelästytti vanhan rouvan

Saan usein puheluita ihmisiltä, jotka ovat pulassa todellisten tai kuviteltujen tietoturvaongelmien kanssa. Eilen illansuussa soitti eläkeläisrouva, joka äänen perusteella kuulosti hyvin terävältä ja pirteältä. Ei mikään höppänä mummeli, mutta koki silti alati lisääntyvän digiasioinnin ahdistavana ja vaikeana.

Hän oli lukenut uutisia Iltalehden sovelluksella, kun oli huomannut pääministeri Marinista kertovan punaisen otsikon "Marinin ura katkeaa tähän" ja painanut sitä. Näytölle oli tullut lisää punaisia tekstejä ja nainen oli tajunnut joutuneensa haittaohjelmasivulle. Hän oli äkkiä sulkenut puhelimen ja tyhjentänyt sivuhistorian, mutta oli huoli jäi kalvamaan: oliko haittaohjelma päässyt puhelimeen? Vieläkö sitä uskalsi käyttää?

Lohdutin soittajaa sanoen, että mobiililaitteet ovat paljon turvallisempia kuin uutisista voisi päätellä. Ellei mene asentamaan ohjelmia itse, ei ole oikeastaan mitään vaaraa (paitsi maksulliset tekstiviestipalvelut ja valtiolliset vakoiluohjelmat).

Kunpa ihmiset ymmärtäisivät ottaa kuvan epäilyttävästä sisällöstä tai edes url-osoitteesta, se helpottaisi asioiden selvittämistä jälkeenpäin. Rouva sanoi olleensa liki paniikissa ja harmitteli itsekin, että reagoi hätiköidysti. Sen ymmärtää.

Ilmeisesti kyseessä ei ollut mikään haittaohjelma vaan kryptohuijauksen mainossivu, joita on tunnettujen toimittajien ja vaikuttajien (Rönkä, Harkimo ym) nimissä. Jostain syystä Google ja Facebook eivät saa niitä kuriin. Iltalehden sovelluksessa mainokset sulautuvat uutisotsikoihin tavallista nettisivua paremmin, joten mainosten erottaminen on vaikeaa. Twitterissä kysymällä selvisi, että muutama muukin oli nähnyt saman mainoksen ja se oli hävinnyt noin puolen tunnin jälkeen.

Iltalehti on mainosvälittäjien armoilla, mutta käyttäjä odottaa, että sovelluksen sisällä Iltalehti vastaa uutisista ja sisällön vaarattomuudesta. Kryptohuijausten ei pitäisi päästä sovellukseen asti.

Laitoin vielä illalla asioita selviteltyäni tekstiviestin soittajalle ja hän oli hyvin helpottunut, pystyy jatkossa taas nukkumaan yönsä kunnolla.

Hänen tilanteensa on kuitenkin tuttu monille. Mitä tehdä, kun digiarjessa tapahtuu jotain epäilyttävää - kenelle voi soittaa ja kysyä neuvoa? Kuka vastaisi kansalaiselle, joka on nähnyt liikaa tietoturvauutisia? Poliisia on turha vaivata, ellei rikos ole jo tapahtunut, ja silloinkin poliisin apu rajoittuu lähinnä rikosilmoituksen tekemiseen.

It-ammattilaisille, nuorille ja ruuhkavuosissa juokseville digiarki on suuri helpotus, mutta on paljon niitäkin, joita voimattomuus digijumalien ja sähköisten itsepalvelujen armoilla ahdistaa.

Jos voit, auta edes omia sukulaisiasi ja lähipiiriäsi.