Näpit irti koneestani, Microsoft!

Uusimman Windows 11 -päivityksen jälkeen työpöytä vaihtui valokuvaksi, joka vaihtui uuteen ja yhä uuteen. Microsoft oli tuonut asetuksen, joka luulee kaiketi ilahduttavan käyttäjää vaihtelemalla taustakuvaa. 

Kaikki tämä lupaa kysymättä. Tai en ainakaan huomannut sellaista päivityksen jälkeen, ehkä se oli upotettu johonkin ilmoitukseen, mutta selkeä se ei ollut. 

Kesti hetken löytää oikea asetus, josta sen sai pois ja pääsi palaamaan vanhaan yksiväriseen työpöytään. 

Pyytämättä ja yllätyksenä.

Windowsin tapahtumanäyttö ja diaesitys oli ilmeisesti kytketty päälle. Minulle tämä ei ole ongelma, mutta moni vanhempi kotikäyttäjä taatusti pelästyi ja ihmetteli, mitä koneelle oli tapahtunut. Oliko tämä nyt se virus, hakkeri tai Venäjän kyberhyökkäys?

Microsoft: jättäkää koneet rauhaan! Emme kaipaa muka hauskoja ominaisuuksia emmekä asetusten muuttamista, ellei niihin ole erityisen hyvät (tietoturva)perustelut.

Jos se ei ole rikki, älä korjaa sitä. 

Ei tällä kertaa muuta. Kiitos.

Ensimmäinen valtiollinen kyberhyökkäys Suomea vastaan?

Tällä viikolla rävähti todellinen megaluokan tietoturvauutinen: Nordean mukaan sitä vastaan tehdyt palvelunestohyökkäykset ovat niin kehittyneitä ja pitkäkestoisia, että niiden toteuttaminen on maksanut kymmeniä miljoonia euroja. Koska pankilta ei ole kiristetty rahaa, taustalla täytyy olla valtiollinen toimija - ilmeisesti Venäjä. Lyhytkestoisia palvelunestohyökkäyksiä on ollut aina, mutta ne ovat lähinnä pr-toimintaa ja kiusantekoa. Tämä on jotain muuta.

Jos Nordean arvelut ovat totta, Suomen historiassa kääntyy uusi luku. Edellisestä valtiollisesta hyökkäyksestä Suomea vastaan on yli 80 vuotta.

Toisaalta tätä on osattu odottaa. Helmikuusta 2022 lähtien viranomaiset ovat valmistelleet suomalaisia itärajan takaa tulevaan kiusantekoon ja kyberhäirintään. Jos se nyt on vihdoin alkanut, miksi viranomaiset nyt ovat hiljaa? Pankkijärjestelmän jälkeen hyökkääjä saattaa iskeä muihin kansallisesti tärkeisiin kohteisiin.

Miksei kukaan sano mitään? Miksei Suomi reagoi millään tavalla ulospäin?

On vaikea uskoa, että pankki kertoisi tällaisia asioita ilman, että tiedottamisesta on sovittu viranomaisten kanssa. Nordean edustajat kävivät myös eduskunnan maanalaisessa turvahuoneessa kertomassa havainnoistaan kansanedustajille. Vaikka attribuutio ja syyllisen osoittaminen on vaikeaa, viranomaiset tietävät varmasti enemmän kuin haluavat kertoa. Nyt ilmassa on paljon kysymyksiä.

Sivujuonteena tähän liittyvät kotien älylaitteet, joiden tietoturvariskeistä mm. suojelupoliisi on varoittanut ainakin kahdesti.

Pankki on kertonut vain, että hyökkäysliikenteen volyymi on ollut 15-kertaista aiempaan nähden, ja että liikennettä on tullut Suomen ja Ruotsin sisältä niin, ettei tavanomaisia maaestoja liikenteen blokkaamiseen ole voinut käyttää.

Nyt olisi kiinnostavaa tietää, mitä tekniikkaa hyökkääjät ovat käyttäneet. Onko liikennettä luotu monistamalla sitä suojaamattomien kotireitittimien kautta vai ovatko hyökkääjät päässeet jotenkin käsiksi pilven kautta etäohjattaviin älylaitteisiin? Jälkimmäinen kuulostaa hankalalta, koska jokaisella älylaitteella on oma ohjaustapansa. 

Tiedot olisivat kuitenkin oleellisia suojautumisen kannalta. Jos Nordean syyttävä sormi osoittaa meihin suomalaisiin, pitäisi kertoa tarkemmin, miten toimitaan. Mitä laitteita hyökkäyksiin on valjastettu ja miten? Voisivatko operaattorit tunnistaa tällaisia laitteita myös hyökkäysten välillä ja informoida niistä kotitalouksia?

Tavanomainen "päivitä kaikki älylaitteet" on niin yleinen fraasi, ettei se aiheuta kodeissa mitään uusia toimia. Suoran hyökkäyksen alla tarvitaan täsmällisiä vastatoimia. Uutisoinnissa pankkia pommitettiin pesukoneilla, mutta tästä ei tietääkseni ole mitään näyttöä. Mistä siis pesukoneet tulivat otsikkoon?

Myös se mietityttää, onko Venäjän kohteena tässä Suomi vai Ruotsi? Mikseivät edes Ruotsin viranomaiset sano mitään, vaikka heillä on FRA-urkinnan ansiosta paljon Suomea pidempi kokemus verkkoliikenteen seurannasta ja jäljittämisestä?

Nordean ulostulo ja viittaaminen kansalliseen turvallisuuteen jäi tasolle, jossa se lähinnä lisää huolta ja epävarmuutta. Juuri sitä, mihin hyökkääjä ehkä pyrkiikin.

Nyt jonkun viranomaistahon pitäisi kertoa lisää. 

Lisäys 18.10.2024: Poikkeuksellisen voimakas hyökkääjä, KRP tutkii asiaa. 

Suomen myönteinen kanta CSAM-hankkeeseen yllätti

Mediat ovat raportoineet EU-hankkeesta, joka velvoittaisi palvelutarjoajat estämään lapsipornon levittämisen palveluissaan. Aihe ei ole Suomessa herättänyt sen suurempaa kiinnostusta. Yksikään poliitikko ei ole ottanut siihen näkyvästi kantaa. 

En reagoinut itsekään aiheeseen, koska pidin selvänä, ettei Suomi lähde tukemaan tällaista. Olin kuitenkin väärässä. Viime viikolla medioissa kerrottiin, että Suomi aikoo tukea Unkarin muotoilemaa uusinta versiota CSAM-asetuksesta. Ilmeisesti ratkaisu oli helppo eikä asiaa tarvinnut sen enempää pohtia, olivathan muut pohjoismaat asetuksen hyväksymisen kannalla.

CSAM tarkoittaa käytännössä lapsipornoa. Kaikki ovat samaa mieltä siitä, että kuvien ja videoiden levitystä pitää pyrkiä estämään teknisillä keinoilla. Unkarin ehdotus on kuitenkin niin tehoton että herää kysymys, onko taustalla jotain muuta.

Ehdotuksen mukaan viestintäohjelmien pitäisi verrata jokaista lähetettävää kuvaa ja videota viranomaisten julkaisemaan listaukseen, jossa on tunnetusta aineistosta laskettuja tarkistussummia. Vähän kuin virusten sormenjälkiä. Mikäli kuva tai video on listalla, sen lähettäminen kaverille pitäisi estää, ilmeisesti myös ilmoittaa löydöstä viranomaisille.

Se tuntuu erinomaisen tehottomalta. Kuinka moni lähettelee kavereilleen Whatsappissa, tekstiviesteissä tai Facetime-viesteissä tällaisia kuvia? Oletan, että aineistoa liikutellaan pimeän verkon kautta eikä yksityisviesteillä. Asetus ei estäisi aineiston lataamista omalle koneelle. Yhdenkin pikselin muutos kuvassa harhauttaisi sormenjälkeä niin, ettei kuvaa enää tunnistettaisi. Vahingollisinta on uuden materiaalin tuottaminen. Siihen tämä hanke ei vaikuttaisi lainkaan.

Asiassa on vahva deja-vu. Elokuussa 2021 Apple tarjosi paikallisten lastensuojelujärjestöjen painostuksesta samanlaista tekniikkaa (HS 13.8.2021, HS 19.8.2021). Hanke tyrmättiin laajasti ja lopulta Apple luopui siitä. Nyt EU tarjoaa aivan samaa. Miksi ihmeessä?

Tämä hanke alkoi tarpeesta seurata terroristien välisiä keskusteluja, joihin viranomaisilla ei päästä päähän -salauksen vuoksi ole enää näkyvyyttä. Alussa varsinkin Englanti oli aktiivinen ChatControl-hankkeen edistäjä. Kun salauksen murtamiseen pystyvä takaovi torjuttiin laajasti, EU on vaihtanut nimellisesti tavoitteeksi lapsipornon torjunnan. 

Epäilen kuitenkin, että alkuperäinen tavoite on yhä voimassa. CSAM on vain keino, jolla tekniikka saadaan levitettyä kansalaisten puhelimiin. Kun ohjelma on siellä tarkkailemassa lähteviä kuvia, sen toimintaa voidaan laajentaa muunkin ei-toivotun aineiston tunnistamiseen ja estämiseen. Siksi oikea hetki toimia on nyt, ennen kuin mitään tarkkailuohjelmaa tuodaan puhelimiin.

Suomi oli vielä 10 vuotta sitten vahvasti viestinnän luottamuksellisuuden kannalla. Ruotsin FRA-lakia pilkattiin avoimesti ja Telia siirsi jopa sähköpostipalvelimet Suomeen, jotta suomalaisten asiakkaiden tilit eivät joutuisi Ruotsin urkinnan kohteeksi. Suomesta haluttiin tehdä "Tietosuojan turvasatama". Jopa SAK julkaisi suojaa korostavan tiedotteen otsikolla "Suomesta tiedon turvasatama". Liikenne- ja viestintäministeri Krista Kiuru vastusti näkyvästi sähköisten tiedustelulakien säätämistä.

Muutamassa vuodessa asenteet muuttuivat ja lait saatiin säädettyä. Nykyisessä maailmantilanteessa tiedustelulait ovat Suomelle erityisen tarpeellisia.

Nyt aihe ei tunnu kiinnostavan yhtäkään poliitikkoa. Onneksi aiheesta nousi kuitenkin viime hetkillä mediassa sen verran keskustelua, että valiokunta päätyi vielä lykkäämään lopullista päätöstään. 

Lisäys 28.10.2024: Ylen jutun mukaan viisi suomalaista MEPiä kannattaa CSAMia: Mika Aaltola, Pekka Toveri, Maria Guzenina, Elsi Katainen ja Katri Kulmuni. Li Andersson ja Jussi Saramo eivät osanneet sanoa. Henna Virkkunen ja Anna-Maja Henriksson eivät vastanneet Ylen kyselyyn.