Yle-vero: kikkailua ja kusetusta

Yle tuottaa useita uutislähetyksiä joka
päivä. Nämäkin lähetykset tultaneen
maksamaan Yle-verossa vuodesta 2013
alkaen.
Kuva: Matti Mattila: YLE News Studio
CC-By 2.0

Vuonna 2009 kirjoitin – monien muiden tapaan – siitä, että Yleisradion rahoitukseksi kaavailtaisiin Yle-maksua. Kun kansa älähti, päätettiin Ylen uusi rahoitusmalli jättää hautumaan. Ilmoille heitettiin myöhemmin käytännössä kaksi mallia: joko talouskohtainen 170 euron suuruinen mediamaksu, tai Ylen rahoittaminen valtion budjetista.

Kaikessa hiljaisuudessa on valmisteltu kuitenkin näiden kahden sekasikiötä: Yle-veroa. Eduskuntaryhmät ovat nyt yksissä tuumin nyökkäilleet hyväksyvästi ja kiitelleet viestintäministeri Krista Kiurua ehdotuksesta. Asian mediaan noususta siihen, että muutos on käytännössä lyöty lukkoon kului vain yksi päivä, eikä liene sattumaa sekään, että asia päätettiin juuri ennen joulua. Toisin sanoen vaikuttaa siltä, että rahoitustapa haluttiin vetää läpi matalalla profiililla ja nopeasti, jotta vuoden 2009 kaltainen kohu ei pääsisi nousemaan.

Olisiko kohulle sitten aihetta? Lyhyt vastaus: kyllä, useammallekin.


Ensinnäkin jo mainitsemani asian tarkoitushakuinen piilottelu ja salailu ei anna kovinkaan hyvää kuvaa siitä, miten asioita tasavaltamaassa hoidetaan. Samaan aikaan valtamediat – tarkoituksella tai ilman – antavat ihmisten ymmärtää, että Yle-vero olisi sama kuin aikaisemmin suunniteltu Ylen rahoitus verovaroin valtion budjetin ohjaamana. Kaiken kaikkiaan rivikansalaiselle ei ole annettu mahdollisuuksia tuoda epäkohtia julki; eikä näin selvästi ole haluttukaan.

Tehdäänpä asia selväksi: Suunniteltu Yle-vero toteutuessaan olisi vuodesta 2013 TV-maksun korvaava, lähes kaikkien täysi-ikäisten1 maksettava, progressiivisesti kasvava veroksi nimetty maksu, jolla rahoitetaan televisio- ja radiorahastoa, joka rahoittaa puolestaan Yleä. Tällä tavalla halutaan rahoittaa Ylen noin 500 miljoonan vuotuiset toimintakustannukset.

Liikenne- ja viestintäministeriön julkilausumassa (PDF) tällaisen taktiikan käyttämistä tavanomaisen verotuksen ja valtion budjetin sijaan perustellaan seuraavasti:

Yleisradio Oy:n riippumattomuuden turvaamiseksi on perusteltua, että julkisen palvelun vero ei sisälly valtiontalouden kehyksiin.

Käytännössä en kuitenkaan usko, että Ylen riippumattomuus olisi kiinni siitä, mitkä puolueet Suomessa istuvat hallituksessa. Pidänkin todennäköisenä, että tällä tavalla halutaan välttää sitä, että Ylen kasvava budjetti aiheuttaisi jonkinlaisia leikkauspaineita. Tällöin Yleisradio olisi etuoikeutetussa asemassa muihin verorahoja käyttäviin organisaatioihin.

Yleisradion toimitusjohtaja Lauri Kivinen on Ylen blogissa vähemmän yllättäen tyytyväinen tilanteeseen:

Yleisradiolle päätös on hyvä. Ensinnäkin saamme pitkäjänteisen ratkaisun, joka antaa meille mahdollisuuden suunnitella toimintaamme vuosiksi eteenpäin. Toiseksi voimme palata kestävälle kehitysuralle ja tehdä panostuksia joista olemme joutuneet tinkimään. Näitä ovat tietotekniikka, ohjelmahankinnat ja etenkin panostukset henkilöstöön. Ja kolmanneksi saamme työrauhan. Voimme keskittyä tehtäväämme kaikin voimin.

Jokainen voi itse miettiä, onko tulevaisuudessa täysin verovaroin kustannettavan mediatalon kustannukset suhteessa siihen, mitä se tarjoaa ja ennen kaikkea suhteessa siihen, mitä sen tulisi tarjota. LVM:n julkilausumassa kerrotussa muutosehdotuksessa Yleä koskevaan lainsäädäntöön Yleisradion tehtäviä oltaisiin laajentamassa: seuraavat sanankäänteet ovat ehdotuksen 7. pykälän alusta (vrt. nykyinen lainsäädäntö; muutokset lihavoitu):

Yhtiön tehtävänä on monipuolinen ja kattava julkisen palvelun televisio- ja radio-ohjelmisto siihen liittyvine oheis- ja lisäpalveluineen jokaisen saataville yhtäläisin ehdoin. Näitä ja muita julkisen palvelun sisältöpalveluja voidaan tarjota yleisissä viestintäverkoissa valtakunnallisesti ja alueellisesti.

Ylen tilinpäätöksestä vuonna 2010 paljastuu,
että henkilöstökuluihin (palkkoihin, eläkkei-
siin, erorahoihin ym.) upposi lähes 220 mil-
joonaa euroa. Tämä on vajaa 70 000 euroa
jokaista ko. vuonna Ylellä ollutta vakituista
kohden, n. 5800 €/kk.
Kts. alaviite 3.

Lähteet: Yle: Talous ja tilinpäätös, Yle: Henkilöstö.
Grafiikka: Riku Eskelinen/ Public Domain.

Klikkaa kuvaa suurentaaksesi.

Myöhemmin saman pykälän kohdissa Yleis­radiolle on lisätty myös kult­tuurin säilyttä­mis­vel­vollisuus (2. kohta) ja ohjel­mistojen painotus nuori­solle (3. kohta). Missään vaiheessa mistään Ylen nykyi­sistä vaati­muksista ei tingitty.

Kuitenkin mielestäni olisi paikallaan miettiä, mitä Ylen pitää tehdä ja millä intensi­teetillä. Löysät pois, kuten sanotaan. Lisäksi Yle voisi kehitellä myös muita rahoitus­keinoja: se tuottaa paljon ohjel­mistoa, mutta käsityk­seni mukaan esimer­kiksi koti­maista draamaa ei juurikaan viedä ulko­maille. Myöskin ulko­maisten ohje­lmistojen hankin­nassa leikat­tavaa riit­tänee. Enkä pitäisi Yleä sen puolueel­lisempana tai riippumat­tomampana2, vaikka se esittäisi mainoksia ohjelmiensa välissä.

Kaiken kaikkiaan suunniteltu Yle-vero on varsin poikkeuksellinen ja epäoikeudenmukainen järjestely, jossa korostuu hyvin nyky- ja ikiaikainen suomalainen päätöksenteko: asioita tehdään kansalta salaa ja sen kannasta piittaamatta lyhytnäköisen oman edun (tässä tapauksessa Yle-mammutin ylläpitämisen ja oman perseen suojaamisen) tavoittelemiseksi, vaikka helpompia ja kunniallisempia – joskin joillekin yksilöille kipeitä – ratkaisuja olisi tarjolla.


1) Yli 7813 € vuodessa tienaavien. Summa on reilu 651 euroa kuukaudessa.
2) Melkoinen sanahirviö, vai mitä?
3) Esimerkkini on tarkoituksella provosoiva: oikeastihan kaikki henkilöstökulut eivät sujahtaneet vakkareiden palkkoihin.
Disclaimer: Tämä on mielipidekirjoitus. Olen yrittänyt pitää omat ja muiden mielipiteet erillään toisistaan ja tosiasioista, sekä mainita lähteet. Jos ajatuksenkulussani on virheitä tai jokin jäi vaivaamaan, kirjoita kommentti. Muutenkin saa kommentoida, kuten aina.

3 erilaista tekijänoikeusuutista

Tekijänoikeudet ovat hieno ajatus, mutta sillä rahansa tekevät
firmat eivät aina oikein viitsi toimia niinkuin pitäisi.

Kuva: Opensourceway/ Joshua Gajownik: Copyright License Choice
CC-By-SA 2.0

Olen tässä blogissa usein kirjoittanut siitä, miten tuhannen auringon voimalla omia etujaan ajavat tekijänoikeusjärjestöt – tekijänoikeusmafia – riistävät kuluttajia ja lobbaavat poliitikkoja oman agendansa edistämiseksi. Tähän liittyen jaan kanssanne kolme aiheeseen liittyvää uutista.

Universal ampui latauspalvelun musiikkivideon alas

Megaupload yllätti kaikki julkaisemalla
huippuartisteja vilisevän markkinointi-
musiikkivideon. UMG:n vastayllätys oli
videon poistaminen YouTubesta.

Kuva: Kuvakaappaus Mega Song -musiikki-
videosta.

Online-tiedostonjakopalvelut ovat usein levy-yhtiöiden, MPAA:n, RIAA:n ja muiden TO-organisaatioiden hampaissa, sillä jaetaanhan niiden kautta laittomasti paljon musiikkia ja muuta suojattua materiaalia. Megaupload-jakopalvelu yllätti kuitenkin kaikki julkaisemalla nimekkäiden artistien – mm. P Diddyn, Will.i.amin ja Alicia Keysin – tähdittämän musiikkivideon (videon voi katsoa esim. Megauploadin sivuilta) markkinoidakseen palveluaan. Video ladattiin myös YouTube-videopalveluun.

Universal Music Group (UMG) ei tälle YouTube-videolle lämmennyt: se käytti YouTuben DMCA[?]-ilmiantotoimintoa ilmoittaakseen olevansa kyseisen videon tekijänoikeuksien omistaja, ja näin poistaen videon YouTube-käyttäjien katsottavista. UMG:llä ei kuitenkaan ole osaa eikä arpaa videon kanssa, vaan Megaupload oli musiikkivideon täysin laillisesti artistien kanssa tehnyt. Megauploadin perustaja Kim Dotcom kertoo TorrentFreak-sivustolle Megauploadin toimineen täysin oikein, toisin kuin UMG:

Mega owns everything in this video. And we have signed agreements with every featured artist for this campaign —

Universal päätti siis tietoisesti käyttää DMCA-mekanismia väärin omien etujensa ajamiseen, siis ”vihollisensa” kampanjan estämiseen. Tällainen väärinkäytös ei ole mitenkään harvinaista, vaan yhdysvaltalaiset levy-yhtiöt ja muut TO-edustajat ovat toistuvasti päässeet teknologiauutissivustojen piikiteltäviksi. Samaan aikaan
samat tahot lobbaavat voimakkaasti mm. SOPA:n[?], joka entisestään laajentaisi vastaavanlaisten toimenpidemahdollisuuksien kirjoa, puolesta.

Uudemmassa TorrentFreakin artikkelissa Megauploadin toimitusjohtaja David Robb kertoo, että neuvotteluyritykset UMG:n kanssa ovat olleet varsin hedelmättömiä:

Efforts to reach out to UMG and open a dialog about this abuse of the DMCA process were answered with unfounded and baseless legal threats and demands for an apology.

Uutisessa kerrotaan lopuksi, että Megaupload on vienyt asian paikallisen käräjäoikeuden ratkottavaksi. Periaatteessa UMG voidaan tuomita maksamaan euromääräisesti suuria summia korvauksia ja sakkoja väärinkäytöksestään, mutta se voinee silti maksaa summan tuskitta – onhan kyseessä maailman suurimpiin lukeutuva levy-yhtiö.

Suhteessa naurettavan pieni korvaussumma taas tuskin kannustaa UMG:tä muuttamaan tapojaan parempaan suuntaan, vaan väärinkäytökset jatkuvat sen ja muiden toimesta tulevaisuudessakin, ellei yhdysvaltalaista lainsäädäntöä muuteta. USA:n päättäjien intresseissä ei tosin useinkaan ole niinkään yksittäinen kansalainen, vaan suuryritykset, joten en pidättelisi henkeäni.

Tekijänoikeusjärjestöt vaativat Public Domain -videoita pois YouTubesta

FedFlix-sivusto julkaisee USA:n hallinnon
tekijänoikeudesta vapaita videoita, joista
kirjoitushetkellä viikon ladatuin oli kuvan
Battle of Midway vuodelta 1942.

Kuva: Kuvakaappaus: Battle of Midway, FedFlix

The Guardian -sivusto uutisoi vähän ylläolevan kanssa samanlaisesta ilmiöstä: suuryritykset ovat ryhtyneet väärinkäyttämään YouTuben ContentID-mekanismia omien rahavirtojensa kasvattamiseksi.

ContentID on YouTuben toiminto, jolla videon tai musiikkikappaleen tekijänoikeuksien omistaja voi tavallaan rekisteröidä mediansa Googlen tietokantaan niin, että kun YouTube tunnistaa siihen ladattavassa videossa olevan tällaisen median, se antaa oikeudenomistajalle joko mahdollisuuden poistaa videon näkyviltä tai vaihtoehtoisesti antaa videon näkyä mainoksilla höystettynä. Mainostuloista osansa saa sitten oikeudenomistaja. Näin siis teoriassa.

Kuitenkin Carl Malamudin ylläpitämä FedFlix-projekti, jonka tarkoituksena on saattaa suuren yleisön nähtäville USA:n hallinnon tuottamia videoita (USA:n hallinnon luomilla videoilla ei ole tekijänoikeussuojaa), on saanut kuulla, että ladatut videot ovat erinäisten suuryritysten ja mediatalojen omistamia. Tässäkään tapauksessa näin ei ole.

FedFlixillä ei ole juuri mahdollisuuksia valittaa kohtelustaan, sillä YouTube ei mahdollista kuin kolme erilaista syytä väittää päätöksen olleen virheellinen: joko siksi, että ContentID on tunnistanut videon väärin; siksi, että lataajalla on kirjallinen lupa oikeudenomistajalta tai siksi, että videon lataaminen on Fair Use -käytännön[?] tai vastaavan mukaista. Koska FedFlixin lataamilla videoilla ei ole ketään, joka tekijänoikeuden omistaisi, ei mikään ehdoista ole kelvollinen.

Ottaen huomioon, että videoiden hankinta ja julkaisu on vapaaehtoista ja välillä varsin työlästä ja kallista, on surullista että jotkin tahot tahtovat haitata tällaista täysin laillista ja mielestäni historian säilyttämisen kannalta arvokasta toimintaa.

Hollantilaisen säveltäjän työ käytössä laittomasti piratisminvastaisessa videossa

Hollantilaisen muusikon Melchior Riet-
veldtin sävellystä on käytetty luvatta mm.
DVD-elokuvien piratisminvastaisessa vi-
deossa.
Kuva: Openclipart

Uutinen ei ole enää niin tuore – TorrentFreak kertoi asiasta jo kuun alussa – mutta liittyy hyvin tähän pakettiin.

Hollantilaista muusikkoa Melchior Rietveldtiä pyydettiin vuonna 2006 tekemään  BREIN[?] -tekijänoikeusjärjestölle piratisminvastaiseen kampanjaan musiikkiraita. Video oli tarkoitus esittää vain videofestareilla, ja artisti suostuikin tekemään kappaleen.

Kuitenkin BREIN keksi käyttää videota ehtojen vastaisesti useissa muissakin yhteyksissä – jopa hollantilaisissa DVD-elokuvissa – ja Rietveldtiltä jäikin hänen taloudellisen neuvonantajansa mukaan vähintäänkin miljoona euroa tuloja saamatta.

Sikäläinen Teostoa vastaava järjestö Buma/Stemra jätti Rietveldtin avunhuudot huomiotta, mutta tänä vuonna järjestön hallituksen jäsen Jochem Gerrits aiheutti Alankomaissa kohua kertomalla voivansa auttaa muusikkoa hädässä: vaatimatonta 33 prosentin korvausta vastaan.

Kirjoitushetkellä ei ollut selvää, onko tarinalle luvassa onnellinen päätös, mutta samaisen TorrentFreakin uutisen mukaan Gerrits on ainakin väliaikaisesti eronnut Buma/Stemran hallituksesta.

Yhteenvetoni uutisista

Kun tällaisiin uutisiin törmää tuon tuostakin, on selvää, että tekijänoikeusbisnes on raakaa ja julmaa toimintaa, eikä termi ”tekijänoikeusmafia” ole täysin tuulesta temmattu. Suomessa tällaisia väärinkäytöksiä tulee ilmi harvemmin, mutta aihetta asian vahtaamisen herpaantumiselle ei ole.

Toivoisinkin enemmän avointa, julkista ja tasapuolista keskustelua tekijänoikeusasioista nyt hyvän sään aikana: nykyään kun keskustelua yrittävät pitää yllä lähinnä EFFI ja Piraattipuolue.

”Scarlet v. SABAM” -jutun vaikutus Elisan TBP-estoon

EU-tuomioistuin päätyi belgialaisen ope-
raattorin puolelle. Elisan tilanteeseen se
ei välttämättä kuitenkaan tuo helpotusta.
Kuva: Balance Scale, Sepehr Ehsani,
CC-By-NC-ND-2.0

Kirjoitin noin kuukausi sitten Helsingin käräjäoikeuden päätöksestä, jonka mukaan Internet-operaattori Elisan olisi estettävä asiakkaidensa pääsy The Pirate Bay -sivustolle.

Samaan aikaan Belgian Teostoa vastaava SABAM-järjestö (Société belge des auteurs, compositeurs et éditeurs SCRL) ja sikäläinen operaattori Scarlet Extended SA väänsivät Euroopan unionin tuomioistuimessa siitä, voiko operaattoria pakottaa estämään laiton tiedostojenjako. EU-tuomioistuin on nyt päätöksensä tehnyt, ja tullut siihen lopputulokseen, ettei operaattoria voi velvoittaa estämään tällaista liikennettä.

Kirjoitukseni on pitkä (850 sanaa) ja ehkä hieman poukkoilevakin, mutta olen tässä pyrkinyt mahdollisimman tyhjentävästi kertomaan näistä asioista.

SABAM on belgialaisessa oikeudessa vaatinut, että Scarletin tulisi omalla kustannuksellaan valvoa kaikkea – mutta erityisesti P2P- – liikennettä ja sitten siitä suodattaa laittomat tiedostonlataukset. Tämän vaatimuksen kohtuullisuutta, toteuttamiskelpoisuutta ja laillisuutta EU-tuomioistuin tarkasteli EU-direktiivien valossa.

Tuomioistuin oli tuomion mukaan aiemmin käsitellyt samankaltaista asiaa ja tullut päätökseen, että kaiken liikenteen valvominen ei ole kohtuullista (kohta 36):

Tällainen yleinen valvontavelvollisuus olisi myös vastoin direktiivin 2004/48 3 artiklaa, jonka mukaan tässä direktiivissä tarkoitettujen toimenpiteiden on oltava oikeudenmukaisia ja oikeasuhteisia eivätkä ne saa olla liian kalliita –.

Tällainen valvonta johtaisi siihen, että operaattorin olisi aktiivisesti kuunneltava kaikkea sen asiakkaiden liikennettä, ja tuomioistuin katsoi sellaisen olevan kiellettyä (kohta 40):

— [Määräys käyttää aktiivista suodatusta] velvoittaisi sen [=operaattorin] valvomaan aktiivisesti kaikkien sen asiakkaiden kaikkia tietoja immateriaalioikeuksien kaikkien uusien loukkausten estämiseksi. Tästä seuraa, että mainitulla määräyksellä asetettaisiin internetyhteyden tarjoajalle sellainen yleinen valvontavelvollisuus, joka on kielletty direktiivin 2000/31 15 artiklan 1 kohdassa.

Tuomioistuin käsittelee päätöksessään myös sitä, että tällainen määräys ei olisi suhteessa siihen, miten immateriaalioikeuksia on syytä suojella. Myöhemmin päätöksessään se käsittelee myös EU-kansalaisten oikeutta yksityisyyteen (kohdat 50-51), ja näkee valvontajärjestelmän uhkana näille perusoikeuksille:

— [R]iidanalainen suodatusjärjestelmä on omiaan loukkaamaan myös internetyhteyden tarjoajan asiakkaiden perusoikeuksia eli heidän perusoikeuskirjan 8 artiklalla suojattua oikeuttaan henkilötietojen suojaan sekä heidän perusoikeuskirjan 11 artiklalla suojattua vapauttaan vastaanottaa tai levittää tietoja.

On nimittäin selvää, että määräys riidanalaisen suodatusjärjestelmän käyttöönotosta merkitsisi kaiken sisällön järjestelmällistä analysointia sekä niiden käyttäjien IP-osoitteiden keräämistä ja yksilöimistä, joilta verkkoon on alun perin lähetetty laitonta sisältöä, ja että kyseiset osoitteet ovat suojattuja henkilötietoja, koska niiden avulla mainitut käyttäjät on mahdollista tunnistaa täsmällisesti[1].

SABAM ajoi Scarletille estoa kaikkeen
laittomaan P2P:hen, Suomessa Elisan
halutaan estävän vain The Pirate Bay-
hin pääsy. Tällä on paljonkin eroa.
Kuva: The Pirate Bay -logo/
thepiratebay.org

Päätös on mielestäni oikea tarpeellinen linjanveto tässä asiassa, vaikkakin SABAM ajoikin paljon suurempaa velvollisuutta operaattorille kuin TTVK (et al.) Elisalle TPB-tapauksessa. Tämän takia EU-tuomioistuimen päätöksen ei pitäisi aiheuttaa suuriakaan riemunkiljahduksia Elisan tai TTVK:n lakimiesten kahvihuoneissa, vaikkakin verkkolehti Digitodayn mukaan juuri näin on käynyt – vieläpä molempien taholla.

Lehden haastatteleman Elisan liittymäliiketoimintajohtajan2 Henri Korven mukaan:

Käsittääksemme EU-oikeuden käsittelemässä tapauksessa on paljon samankaltaisuutta meidän tapauksemme kanssa ja nähdäksemme siinä esitetyt perustelut ja johtopäätökset ainakin osittain ovat sovellettavissa myös meidän tapaukseemme.

Samaisessa jutussa haastateltiin myös TTVK:n toiminnanjohtaja Antti Kotilaista, jonka mielestä EU-tuomioistuimen päätös koskee varsin erilaista asiaa kuin heidän Elisaa vastaan ajamansa:

Elisan tapauksessa on kyse yksittäiseen, räikeän laittomaan Pirate Bay -palveluun kohdistettavista estotoimista, ei yleisestä monitorointivelvollisuudesta[.] —

Näin onkin, sillä käräjäoikeuden Elisalle antama määräys ei Elisaa pakota estämään kaikkea laitonta P2P-liikennettä, vaan estämään pääsy tietylle sivustolle.

Kuitenkin käräjäoikeuden vaatimaa täysin aukotonta estoa on mahdotonta toteuttaa, ja mitä aukottomammaksi estoa yritetään saada, sitä enemmän Elisan on valvottava asiakkaidensa liikennettä. Tässä suhteessa EU-tuomioistuimen päätöksessä on paljonkin sellaista, mitä hovioikeuden tulisi ottaa – sitten aikanaan – huomioon.

Käräjäoikeuden päätöksessä on toki muitakin ongelmakohtia, kuten se, että toteutuessaan TPB:n blokkaaminen estäisi myös muiden kuin TTVK:n edustamien tahojen omistamien materiaalien laitonta latausta, ja jopa laillisia tiedostonlatauksia. Tässä mielessä päätös ei ole laillinen, sillä sen aiheuttama haitta ei ole mitenkään järkevässä suhteessa haettuun hyötyyn nähden, eikä se muutenkaan seuraa lakia tietoyhteiskunnan palvelujen tarjoamisesta (5.6.2002/458). Toivoa sopii, että hovioikeus edes vilkaisee tuota lakia.

Sen sijaan on kuitenkin aivan tuulesta temmattu ajatus, että EU-tuomioistuimen päätös ainakaan helpottaisi tekijänoikeusjärjestöjen asemaa. Kuitenkin mm. Ilta-Sanomat uutisoi, että IFPI (arvelisin, että TTVK:n edustamana) on nyt hakemassa Helsingin käräjäoikeudelta samanlaista estopäätöstä myös Soneraa ja DNA:ta vastaan.

Spekulatiivisesti voisikin kuvitella, että IFPI/TTVK on jopa hieman pelästynyt EU-tuomioistuimen päätöstä, ja nyt koittaa kiireellä laittaa operaattorit luomaan sensuurikoneistoa, jotta jatkossa voitaisiin sanoa operaattoreilla olevan käytössään tarvittavat mekanismit. Jos ja kun käräjäoikeus päätyy Soneran ja DNA:n suhteen samaan lopputulokseen kuin Elisan kanssa, on uhkana se, että hovioikeudessa katsotaan tällaisen sensuurin olevan arkipäivää, ja näin ollen hyväksyttävissä.

Myöskään ennakolta ei voida tietää, tulevatko Sonera ja DNA valittamaan päätöksistään Elisan tavoin, vai tyytyvätkö ne kohtaloonsa. Jos operaattorit eivät valita päätöksestä, lujittautuu sensuuri entistä tiukemmin osaksi tietoyhteiskuntaamme.

Lopuksi kerrottakoon. että Tietokoneen uutisen mukaan tekijänoikeusjärjestöt ja Elisa ovat ilmeisestikin päässeet yhteisymmärrykseen The Pirate Bayn estämisestä, ja IFPI:ä edustava Lauri Rechardt kertookin lehdelle, että Elisan asiakkaiden pääsy TPB:hin estyy vielä tämän vuoden aikana. Sitä, miten esto tullaan toteuttamaan, ei Elisa tai IFPI vielä ole kertonut, mutta oletan että Elisa poistaa The Pirate Bayn osoitteet nimipalvelimiltaan.

Tätä kirjoittaessa Elisa ei vielä estä pääsyä The Pirate Bayhin millään tavoin. Nähtäväksi jää, miten ja milloin esto tullaan toteuttamaan.

1) Vaikka EU-tuomioistuin väittääkin IP-osoitteiden olevan Internet-käyttäjän yksilöiviä tietoja, näin ei tietenkään ole. Käsittelin asiaa tässä blogissani elokuussa 2010. En kuitenkaan halua takertua pikkuseikkoihin.
2) On siinä miehellä titteliä kerrakseen. Mitenköhän tämä on saatu mahtumaan käyntikorttiin?

Millainen on hyvä salasana – ja miksi?

Hyvä salasana on pitkä ja sisältää
mitä erilaisimpia näppäimistön
anteja.

Kuva: Keyboard, cafenut,
CC-BY-NC-SA-2.0

Viestintäviraston tietoturvaan keskittynyt CERT-FI -osasto julkaisi – viimeaikaisiin tietomurtoihin liittyen – jokin aika sitten ohjeen hyvästä salasanasta. Kuinka sitten keksiä sopiva salasana, kun joka palveluun tarvittaisiin oma, vähintään 15 kirjainta, numeroa ja muuta merkkiä sisältävä rimpsu, jota ei saisi kirjoittaa paperillekaan?

Lähdetään liikkeelle siitä, miten salasanat oikeastaan murretaan. Oion tässä yksikertaisuuden nimissä: esimerkiksi suolausta ei ole otettu huomioon, kuten ei myöskään sitä, että jotkut verkkosivut tallentavat salasanat selväkielisinä, kuten vastikään murtunut Netcar.fi.

Hyökkääjä-Heikki, korkattuaan käyttäjätietokannan ja saatuaan salasanatiivisteet käyttöönsä, voi nykyaikaisella tietokoneella laskea satojatuhansia tiivisteitä sekunnissa ja vertailla niitä salasanatiivisteitä vastaan: tässä kirjoituksessa on lähdetty siitä, että hyökkääjä laskee 500 000 tiivistettä sekunnissa. Tämä tarkoittaa sitä, että hyökkääjä voi käydä kaikki ne salasanat, joissa on 6 pientä kirjainta, läpi alle kahdessakymmenessä minuutissa. Koska erilaisten salasanojen määrä voidaan laskea kaavalla salasanat=merkkivalikoimapituus, on jo kahdeksankirjaimista salasanaa huomattavasti vaikeampi murtaa: 298≈5,002×1011.

Heikki ei kuitenkaan ole rajoittunut vain tuollaiseen brute-force -hyökkäykseen. Hän todennäköisesti alottaisi sateenkaaritaulukolla vertaillen valmiiksi laskettuja tiivisteitä rikollisesti hankittuja salasanatiivisteitä vastaan. Kun siitä on selvitty, siirtyisi hän sanakirjahyökkäykseen: kokeillen yleisiä salasanoja, sanakirjasanoja sekä sanojen ja numeroiden yhdistelmiä. Tässä vaiheessa jo hyvin moni salasana olisi auennut, sillä Heikin ei tarvitse murtaa salasanaa kerrallaan, vaan hän voi kokeilla saatuja tiivisteitä kaikkien salasanojen tiivisteitä vasten yhtä aikaa. Viimeisenä keinona hän sitten kokeilisi brute forcea, joka on tehokas lähinnä 1-8 merkkiä pitkien salasanojen murtamiseen.

Jos murtomies pääsee käsiksi käyttäjätietoi-
hin, on hänellä monia keinoja salasanan sel-
vittämiseksi.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kun Heikillä on kasa käyttäjätunnuksia ja mahdollisesti muita henkilötietoja salasanoineen, hän voi käyttää hyväksi sitä, että monet käyttävät samaa salasanaa eri paikoissa, ennen kaikkea sähköpostissa. Jos Heikki pääsee saamallaan salasanalla käsiksi myös uhrin sähköpostitiliin (tai jos hyökkäys kohdistui siihen), voi hän vallata uhrin muita käyttäjätilejä palveluiden ”Unohdin salasanani” -toiminnoilla, jotka tavallisesti lähettävät uuden salasanan tai linkin sen luontiin sähköpostina.

Nyt, kun tiedetään miten salasanoja murretaan ja mitä niiden avulla voidaan tehdä, voidaan lähteä miettimään tehokasta vastatoimea. Unohdetaan saman salasanan käyttäminen useissa paikoissa, ja valitaan sellaisia salasanoja, joita ei kenellekään muulle tulisi mieleenkään. Internet on pullollaan palveluita, jotka kehittävät pyydetynpituisia ja -tyyppisiä salasanoja (kuten Wolfram Alpha), mutta nämä ovat usein hankalasti muistettavia.

Kuvitellaan salasana vaikka musiikkiaiheiselle keskustelufoorumille: otetaan sen päässä jatkuvasti soivan lempikappaleen kertosäe, ja käytetään sitä salasanan muistisääntönä. Kertosäkeestä voi sitten oman maun mukaan poimia kirjaimia, numeroita ja muita merkkejä, kunnes pituus on 15 merkkiä. Sellaisenaan kertosäettä ei kannata käyttää, sillä nokkela hyökkääjä keksii kokeilla myös sitä. Samalla tapaa voidaan luoda yksilöllisiä salasanoja, joihin on olemassa aina sopiva muistisääntö, ja jotka eivät teemansa takia sekoitu toisiinsa.

Hyvä salasana ei kuitenkaan vielä täysin ratkaise ongelmaa. Palveluissa on usein salasanan palauttamiseksi valittavissa myös salainen kysymys -vaihtoehto. Jos mahdollista, tällaiset kysymykset kannattaa poistaa käytöstä, tai vastata kysymykseen pupulla. Ventovieraskin hyökkääjä voi nimittäin esimerkiksi sosiaalisen median, kuten Facebookin, avulla saada selville äidin tyttönimen tai lempiruoan. Jos hyökkääjä tuntee uhrin entuudestaan, on tietojen selvittäminen vielä helpompaa.

Lisäksi kannattaa tarkkaan miettiä, kannattaako palveluun todella rekisteröityä. Jokainen palveluun rekisteröityminen lisää riskiä sille, että käyttäjätietojasi – muutakin kuin salasanasi – joutuu vääriin käsiin. Pohdintaansa voi alustaa vaikka sillä ajatuksella, että mitä palveluun syöttämillä tiedoilla voitaisiin tehdä niiden joutuessa vääriin käsiin.

Salasana kannattaa myös vaihtaa aika ajoin, vaikkapa vuosittain. Tällöinkään salasanoja ei pidä kierrättää, vaan keksiä uusia. Ja jos uusi salasana ei muuten uppoa päähän, voi sen hetkeksi kirjoittaa esimerkiksi paperille, ja pitää paperin visusti tallessa. Jos palveluun kirjautuu monia kertoja, jossain vaiheessa pidempikin salasana jää päähän. Jos toisaalta kirjautumiskertoja on kovin vähän, kannattaa miettiä, onko käyttäjätili kyseisessä palvelussa kovin tarpeellinen muutenkaan.

Selaimen salasananmuistamis-
toimintoa kannattaa käyttää, jos
salasanat eivät muuten pysy mie-
lessä.
Kuva: Kuvakaappaus Firefox 7:sta.

CERT-FI neuvoo ohjeessaan käyttämään tarvittaessa apuohjelmia salasanojen muistamiseen, mutta pitäisin itse sitä viimesijaisena keinona. Selainten oma Muista salasana -toiminto on yleensä kaikki, mitä tarvitaan. Nämä tiedot kannattaa tietenkin varmuuskopioida offline-medialle (kuten CD- tai DVD-levylle, tai muistitikulle), eikä esimerkiksi sähköpostin tai PayPalin kirjautumistietoja kannata tallentaa edes sinne: ne on turvallisinta opetella sovinnolla ulkoa.

Lopuksi pari linkkiä. Splashdata julkaisi vuosittaisen 25 huonointa salasanaa -listansa, josta salasanojaan ei välttämättä kannata poimia. Toisena linkkinä tarjoan mahdollisuutta tekemässäni palvelussa tarkistaa, onko viimeaikaisilla nettiin vuodetuilla listoilla sinun tietojasi. Sertifikaatti on itseallekirjoitettu, ja sen MD5-summa on 634CE8C0950751A7E3C7FE71FFFE8D3C.

Joomla 1.7.3 ja valikkokatastrofi

Kuva: Broken Glass Swoosh,
davetoaster; CC-BY-2.0

Käytän Joomla-julkaisujärjestelmää monilla hallitsemillani verkkosivuilla. Ohjelmiston uusimpaan vakaaseen 1.7 -sarjaan julkaistiin tietoturvapäivitys, joka nosti versionumeron 1.7.3:een. Asennus aiheutti kuitenkin harmaita hiuksia.
Tällaiset perus-Joomla-päivitykset ovat yleensä melko simppeleitä asentaa: päivityspaketti koneelle, paketin purku ja vanhojen tiedostojen korvaus paketin tiedostoilla palvelimella. Tämäkin päivitys vaikutti ensi-istumalta toimivan kunnolla, mutta lähempi tarkastelu paljasti melkoisen ongelman.

Valikkomoduulit näyttivät mitä sattuu: sivusto näytti välillä muun kuin nykyisen sivun valikkorivin alavalikoita, ja toisinaan jätti alivalikot tyystin näyttämättä. Ajattelin, että jostain syystä päivitys on muuttanut jotain valikkomoduulien oletusasetusta, ja aikani räknättyäni valikoita tulin siihen lopputulokseen, että vika ei ole valikkomoduulien asetuksissa.

Ehkäpä sivupohjassa on tapahtunut jotain, ja valikot siksi näyttävät väärältä? Ei, sama ongelma toistui jokaisella yrittämälläni pohjalla. Myöskään valikkomoduulin sijoittelun vaihtaminen ei ongelmaa korjannut.

Tällä asetuksella valikot lähtivät
toimimaan.

Kuva: Kuvakaappaus Joomla-hallinta-
paneelistani. Klikkaa suurentaaksesi.

Aikani sekalaisia valintoja kokeiltuani huomasin kuitenkin, että aina silloin tällöin tehdessäni jotain muutosta valikkojen jumi vaihtaa muotoaan. Mutta eihän tämän pitäisi olla välimuistiasia, valikoiden välimuistitushan on pois käytöstä.

Kokeeksi otin sivuston asetuksista globaalin välimuistin pois käytöstä, ja katso: valikot ryhtyivät jälleen yhteistyöhön. Huono ratkaisu pitkällä tähtäimellä, mutta ainakin sivustot toimivat järkevästi.

Mikäli olet törmännyt tähän samaan ongelmaan, kerro ihmeessä kommenteissa asiasta ja siitä, miten valikkosekamelskan ratkaisit.