Tekijä: Riku Eskelinen

Kiakkovierasjuhla paljasti poliisin mielivallan

Posted onLeave a comment

Po­lii­si vaa­ti foo­ru­min käyt­tä­jien hen­ki­lö­tie­to­ja Po­lii­si­lain 36 § 1. mo­ment­tiin pe­rus­tuen. Pyyn­nön pal­jas­tu­mi­nen toi pu­heek­si vä­hän pu­hu­tun mut­ta pal­jon käy­te­tyn yk­si­tyis­ten tie­to­jen ke­räys­kei­non.

Ku­vas­ta on su­men­net­tu po­lii­si­mies­ten ni­met ja yh­teys­tie­dot hei­dän suo­jak­seen; tie­dot ovat näh­tä­vis­sä al­ku­pe­räi­ses­sä ku­vas­sa Punk in Fin­land -foo­ru­mil­la.

Kuva: Colocolo, Keskusrikospoliisi1

Lauan­taina 21. elokuuta kello 0.14 käyttäjä­nimi (a)-tiimi lähettää suoma­laiselle Punk in Finland -keskustelu­foorumille viestin. Viestissä hän kertoo Linnan juhlille kaavail­lusta vasta­tapahtu­masta:

Ajateltiin, että kun tärkeämmät ihmiset pitävät kekke­reitään
Tampere-talossa, voisi lähis­töllä pistää pystyyn omat kekkerit johon on
kuka tahansa terve­tullut ihon­väriin, kansalai­suuteen tai varal­li­suuteen
katso­matta.

Nähdään Näsi­linnan­kadulla puoli kuuden maissa. Kaikki
ovat terve­tulleita paitsi tiätty natsit ja fasistit. Toivotaan kanssa,
että tulet omana itsenäsi etkä esim. puolueen tai järjestön edus­tajana.

Elikkäs tiistaina 27.08. 2013 kello 17:30 tavataan Näsi­linnan­katu 22:ssa ja aletaan juonimaan porva­reitten pään­menoksi!

Seuraavan viikon aikana käyttäjät Mahnon heppa, lumbo, eipä vissii ja tiistai…murekepäivä vastaavat viesti­ketjuun lyhyin viestein. Sitten eräs foorumin yllä­pitäjistä, Colocolo, tiputtaa pommin:

Salassapitorikos tai ei, tää on mun mielestä liian paksua.
Keskusrikospoliisi vaatii Punk in Finland -keskustelufoorumin ylläpitoa
luovuttamaan tähän viestiketjuun postanneiden käyttäjien henkilö- ja
tunnistetiedot Pirkanmaan poliisilaitokselle.

Viestin ohessa on kuva Poliisin foorumin ylläpidolle lähettämästä tietopyynnöstä, joka on merkitty punaisin kirjaimin salassa pidettäväksi. Pienen pohdinnan jälkeen mediatkin heräsivät orastavaan uutisaiheeseen, ja soppa oli valmis.


Mutta mistä oikeastaan on kysymys? Poliisilaki määrittää Poliisin tehtäviä, velvollisuuksia ja oikeuksia, ja sen kolmas luku keskittyy tietojen saamiseen eri tavoin: esimerkiksi valeostoin, tarkkaillen, ja telekuuntelun avulla. Pyynnössä perusteeksi kerrottu 36. pykälän ensimmäinen momentti kuuluu:

Poliisilla on oikeus saada päällystöön kuuluvan poliisimiehen pyynnöstä
rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön
jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai
työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden
estämättä. Poliisilla on sama oikeus saada 37 §:ssä tarkoitetussa
poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai
yksityinen etu sitä vaatii.

Toisin kuin Pakkokeinolain mahdollistamia menetelmiä käytettäessä, ei tällaisen tiedonkeruun aloittamiseksi tarvita tuomioistuimen päätöstä, vaan poliisi voi lähetellä pyyntöjä itsenäisesti, vieläpä melko löyhin perustein. Koska pyynnöt ovat salaisia, on niiden määrää hankalaa arvioida. Helsingin Sanomien haastattelema pyynnön hakija, rikoskomisario Ari Luoto, kertoo pyyntöjen kuitenkin olevan ”normaalia poliisitoimintaa”.

Voisin kuvitella, että kynnys sille, että jokin asia on tärkeä yleinen tai yksityinen etu, on varsin matala: Kiakkovierasjuhlien osalta Tampere-talolla järjestettävä itsenäisyyspäivän vastaanotto riittänee hyvinkin syyksi tietopyynnölle. Pyyntöjä voi lähettää kenelle tahansa, niistä ei voi valittaa eikä kertoa muille, ja niihin on pakko vastata. Poliisilla puolestaan ei ole mitään velvollisuutta kertoa tietopyynnöstä kellekään koskaan; näin ollen pyynnön kohteet jäävät autuaan tietämättömiksi siitä, että heidän yksityiset tietonsa eivät olekaan enää niin yksityisiä.

Minä en siis voi mitenkään tietää, onko yksityisiä tietojani päätynyt Poliisin salaisiin arkistoihin, ja jos on, miten noita tietoja aiotaan käyttää nyt tai tulevaisuudessa. Voisiko esimerkiksi jokin huolimaton ajatus anonyymillä keskustelufoorumilla vuosia sitten estää minua saamasta aselupaa2?

Ongelma laajenee entisestään, kun ajatellaan ilmaisunvapautta: jos poliisi voi mielivaltaisesti pyytää nimimerkkien takana olevien henkilötietoja, on tulenaroista mutta laillisista3 asioista keskusteleminen vaikeaa. Pyynnön julkaissut Colocolo kertoo Tampereen ylioppilaslehti Aviisissa:

Sananvapauslaissa on määritelty yksityiskohtaisesti, miten viranomaisen
tulee toimia halutessaan selvittää anonyymien verkkokeskustelijoiden
henkilöllisyyksiä. Se, että poliisi voi poliisilakiin vedoten kävellä
mielivaltaisesti muun lainsäädännön yli, on mielestäni väärin. Tällaisia
viranomaiskäytäntöjä ei saisi olla olemassa[.]

Artikkelissa Colocolo toivoo Poliisilakia muutettavan sellaiseksi, ettei ”tällainen mielivaltainen toiminta [-] ole enää mahdollista”. Vaikka pyyntöön on helppo yhtyä, on lain muuttuminen varsin epätodennäköistä, ja toteutuessaankin hidasta, sillä muutoksia tarvittaisiin luultavasti myös Pakkokeinolakiin.

Colocolon temppu on kuitenkin vähintään hatunnoston arvoinen. Se, että tämä epäkohta on hetken aikaa kansakuntamme kollektiivisessa työmuistissa, on ensimmäinen askel kohti parempaa. Ehkä Poliisissakin havahdutaan tilanteeseen, ja luodaan tiukempia pelisääntöjä, ken tietää4?

Varsinainen postaus loppuu tähän. Alla pari lisähuomiota.

× × ×

Mitäs nyt tehdään?

Toistaiseksi elämme siis maassa, jossa poliisi kulkee yksityisyydensuojan ohituskaistaa, voiden vaatia keneltä tahansa mitä tahansa. Internet-keskustelujen osalta olen laatinut seuraavat suositukset, tavoitteena vähentää luovutuskelpoisen tiedon määrää ja heikentää sen laatua.

Ohjeet keskustelijalle

  1. Älä tallenna käyttäjäprofiiliisi tietoja, joista sinut voidaan tunnistaa (esim. sähköpostiosoite), vaikka tiedot eivät näkyisikään muille käyttäjille.
  2. Käytä eri käyttäjätunnuksia tai kirjoita anonyyminä.
  3. Käytä anonymisoivaa välityspalvelinta tai vastaavaa palvelua; esimerkiksi TOR:ia.

Ohjeet verkkopalvelun ylläpitäjälle

  1. Älä tallenna käyttäjästä kuin välttämättömät tiedot.
  2. Tallenna salasanasta (ja IP-osoitteesta) vain suolatut tiivisteet.
  3. Poista HTTP-pyyntöjen kirjaaminen (access-loki) käytöstä.

Se toinen momentti 

Poliisilain 36 § 1. momentti on vain kevyttä alkulämmittelyä ennen sitä seuraavaa 2. momenttia5, jos esimerkiksi Aamulehteä (ja sen haastattelemaa Itä-Suomen yliopiston informaatio- ja tietoteknologiaoikeuden professori Tomi Voutilaista) on uskominen:

[–] momentin perusteella poliisi voi saada
palveluntarjoajalta verkkokeskustelijan sähköpostiosoitteen,
IP-osoitteen tai puhelinnumeron, joka ei löydy julkisesta luettelosta.
Tämä edellyttää sitä, että poliisi tarvitsee esimerkiksi yhteystietoa,
jotta se voi suorittaa poliisille kuuluvan tehtävän.

Mitään rikosepäilyä ei tarvita.

En halua mitenkään aliarvoida Voutilaisen ammattitaitoa tai osaamista, mutta pidän varsin epätodennäköisenä, että 2. momenttia käytettäisiin vastaavanlaisissa tilanteissa tiedonsaannin perusteena. Vaikkakin sen käytön edellytykset ovat jopa löyhemmät kuin 1. momentin vastaavat, ei sitä voi lähettää mielivaltaisesti kelle tahansa, vaan ainoastaan teleyritykselle tai yhteisötilaajalle. Esimerkiksi keskustelufoorumi ei ole kumpaakaan.

Toki pyyntö voitaisiin lähettää foorumin alustan palveluntarjoajalle, joka puolestaan voidaan nähdä eräänlaisena teleyrityksenä. Tämän hosting-firman puitteet tietojen keräämiseen ovat kuitenkin rajoittuneemmat kuin palvelimen tilaajalla. Näin ollen en jaksa uskoa, että 2. momenttiin perustuvia tietopyyntöjä lähetettäisiin keskustelufoorumeille juurikaan − muita käyttöjä tuollaisille pyynnöille toki on olemassa.


1) Mitä ihmettä tällaiseen pitäisi edes kirjoittaa kuvalähteeksi?
2) Poliisille tiedoksi: ensinnäkään en usko ikinä hankkivani pyssyä itselleni, toisekseen en kirjoittele ”vaarallisia” ajatuksia siten, että minua voitaisiin niistä tunnistaa (esim. TOR ja kirjoituksenvääristäjät ovat avuksi).
3) On myös laittomia tapoja ilmaista itseään: esimerkiksi en saa postata lapsipornoa edes poliittisena kannanottona. Aivan oma lukunsa on organisoitu keskustelu kopiosuojauksen kiertämisestä − laitonta sekin.
4) Olisi hyvä, jos esim. Poliisihallituksesta joku jonkunlaisen lausuman yleisölle antaisi.
5) Joo-o, ykkösen jälkeen tulee kakkonen. 

Ota varmuuskopiointi vakavasti

Posted on4 Comments

Di­gi­taa­li­set hen­gen­tuot­teem­me ovat yleen­sä tie­dos­toi­na kiin­to­le­vyl­lä. Kun le­vy ha­jo­aa, tie­dos­tot­kin ka­toa­vat bit­ti­ava­ruu­teen. Pait­si jos niis­tä on otet­tu var­muus­ko­pi­ot. Kos­kas it­se vii­mek­si otit?

Kuva: Alpha six: Hard Disk. c ba 2.0.

Minulle on kertynyt vuosien saatossa noin 700-800 gigatavua tiedostoja kotikoneideni syövereihin: esimerkiksi opiskeluun ja työhön liittyviä asiakirjoja, koodailuprojekteja, valokuvia, musiikkia ja videotiedostoja. Olisi katastrofi, jos ne kaikki katoaisivat kansioistaan yhdessä yössä.

Musiikin, sarjat ja elokuvat voi aina ladata uudelleen, joten niistä en olisi niinkään murheissani. Enemmän kirvelisi omien kätteni tuotosten menettäminen, ne kun ovat korvaamattomia. Uskon, että moni muukin − sinäkin, lukijani − tuntee samoin.


Harmillisen usein kuvitellaan, että tiedostot kiintolevyllä ovat turvassa kuin kassaholvissa konsanaan. Näin ei ole, vaan tärkeiden työjuttujen tai rakkaiden digikuvien kohtaloksi voi koitua monikin asia. Muutamia mainitakseni:

  • Inhimillinen virhe: Poistetaan esimerkiksi tärkeitä työasiakirjoja yhdessä turhien tiedostojen kanssa. Joskus roskakoritoiminto auttaa, mutta jos roskakori on ehditty tyhjentää, ovat tiedostot mennyttä.
  • Päällekirjoittaminen: Esimerkiksi pöytälaatikkodekkari.pdf korvataan netistä ladatulla, sattumalta samannimisellä, tiedostolla.
  • Pahin kaikista, levyn rikkoutuminen: Kiintolevyjen elinikä on rajallinen, noin kolmesta viiteen vuotta1. Muistitikut ja -kortit hajoavat yleensä nopeammin. Oma kokemukseni on, että levyt yleensä hajoavat täysin arvaamatta.

Omien kokemusteni perusteella vaikuttaa siltä, että useimmat ihmiset kyllä tietävät riskin olemassaolon, mutta pitävät vahingon sattumista omalle kohdalle epätodennäköisenä. Tällainen ajattelutapa on yhtä vaarallista kuin ajaa autolla järjestään ylinopeutta nopeuskameraboksin ohi siksi, että vain osassa pömpeleistä on kamera sisällä.

Toisaalta voi olla, että ajatellaan tiedostojen olevan asiantuntevissa käsissä vielä jotenkin pelastettavissa. Yleensä näin ei ole, tai jos onkin, on pelastustyö liian kallis tavalliselle kotikäyttäjälle. Tai ehkä ei tiedetä miten varautua.

Varmuuskopiointi ei ole vaikeaa, eikä tallennustila maksa paljoakaan. Yksinkertaisimmillaan homma hoituu kopioimalla tärkeät tiedostot ulkoiselle muistitikulle tai polttamalla ne DVD:lle. Käytännössä sopiva varmuuskopiointitapa riippuu esimerkiksi tietojen määrästä ja muutostiheydestä. Omasta mielestäni tärkeimmät huomioitavat seikat varmuuskopioinnissa ovat seuraavat (tärkein ensin).

  1. Kattavuus. Kaikki sellainen, jonka häviäminen aiheuttaisi peruuttamatonta haittaa, tulisi varmuuskopioida. Muun sisällön varmuuskopiointi tuo toki lisää mukavuutta.
  2. Tiheys. Varmuuskopioita tulee ottaa tarpeeksi usein, jotta tietoja menetettäisiin mahdollisimman vähän. Yleensä uusinkaan varmuuskopio ei ole täysin ajantasainen, joten aivan uusimmat tiedot menetetään. Se, mitä ”aivan uusimmat” tarkoittaa, on kiinni kopiointitiheydestä.
  3. Etäisyys alkuperäiskappaleisiin. Säilyttämällä varmuuskopioita samalla levyosiolla (l. -asemalla) saadaan esimerkiksi ylikirjoittamista vastaan hyvä suoja, mutta levyrikon sattuessa menetetään molemmat kappaleet. Jos mahdollista, varmuuskopiot kannattaa säilyttää fyysisesti etäällä, esimerkiksi kaverin luona, jolloin tulipalo tai vastaava onnettomuus ei pääse hävittämään varmuuskopioita ja varsinaista dataa yhdellä kertaa.
  4. Suojaus. Kaikki data kannattaa suojata vääriltä silmäpareilta esimerkiksi salaamalla varmuuskopiolevyt, tai yksinkertaisesti säilyttämällä ne ulkopuolisten ulottumattomissa. Tietojen salaaminen on erityisen tärkeää, jos varmuuskopioita säilytetään muualla kuin omissa tiloissa, esimerkiksi pilvipalvelussa.
  5. Versiointi, eli että varmuuskopioita on useita. Jos vahingon huomaa vasta varmuuskopion ottamisen jälkeen, on mukavaa kun tiedoston voi palauttaa aiemmalta varmuuskopiolta.

Varmuuskopiointisovelluksia on joka lähtöön − niin peruskäyttäjän perustarpeisiin, kuin ammattilaisten järeisiin vaatimuksiin. Sopivan ohjelman valitsemiseen kannattaa käyttää hetki aikaa: liian yksinkertainen ohjelma ei välttämättä taivu käyttötarkoitukseensa, mutta toisaalta jos varmuuskopiointi on tuskaisen vaikeaa, jää se helposti tekemättä, ja sitähän emme halua.

Tärkeintä siis on, että kaikista tärkeistä tiedostoista löytyy kappale sen varalle, että käy vahinko. Vahinko, jota ei toivottavasti koskaan tapahdu, mutta joka kuitenkin ennen pitkää tulee käymään.

Vähemmän IT:stä kiinnostuneet lukijat voivat lopettaa lukemisen tähän. Muille haluan paljastaa vielä lopuksi oman varmuuskopiointitaktiikkani, joka on monitahoinen, joskaan ei täydellinen.

Säilytän tiedostoja journaloivaa ext4-tiedostojärjestelmää käyttävällä tiedostopalvelimeni virtuaalilevyosiolla. Tuo levyosio on todellisuudessa viiden levyn RAID5-pakassa. Yhden levyn hajoamisen ei siis pitäisi hävittää dataa. Varmuuskopioin tiedostot ulkoiselle kiintolevylle aika ajoin. Tuo levy on salattu, ja koneessa kiinni vain varmuuskopioinnin ajan. Varmuuskopiointi tapahtuu inkrementaalisesti rdiff-backup-ohjelmalla.

Tiedostan varmuuskopiointitavassani kaksi ongelmakohtaa. Ensinnäkin RAID-pakan levyt ovat kaikki samanmallisia, käytännössä tehtaan liukuhihnalta peräkkäin tulleita yksilöitä. Jos yhdessä levyssä on tyyppivika, on se todennäköisesti muissakin levyissä, ja useita levyjä voi hajota ennen kuin saan uuden levyn tilalle. Toisekseen säilytän varmuuskopiolevyä kotona, jolloin vaikkapa tulipalo voisi tuhota sekä tiedostopalvelimeni että varmuuskopioni. Olen selvittänyt mahdollisuutta pilvivarmuuskopiointiin, mutta tarpeeksi turvallista, helppokäyttöistä ja edullista tapaa ei ole toistaiseksi löytynyt.


1) Kestoikä vaihtelee suuresti. Toiset levyt hajoavat käsiin parissa vuodessa, toiset kestävät kymmenenkin vuotta.

Groovesharkin Broadcast – laitontako?

Posted onLeave a comment

Groove­sharkin Broad­cast-toi­min­nol­la ku­ka ta­han­sa voi ryh­tyä tis­ki­ju­kak­si ja soit­taa muil­le käyt­tä­jil­le ha­lua­mi­aan kap­pa­lei­ta. Mut­ta ku­ka vas­taa te­ki­jän­oi­keuk­sis­ta? Otin asias­ta sel­vää.

Kuva: Kuva­kaap­paus erääs­tä Groove­sharkin Broad­cast-lä­he­tyk­ses­tä.

Ylistämäni Grooveshark-musiikkipalvelu julkaisi kesällä Broadcast-nimisen1 toiminnon, jossa käyttäjä voi luoda kanavan, johon muut voivat liittyä, ja kuunnella samoja kappaleita lähes reaaliajassa. Toisin sanoen kyseessä on eräänlainen nettiradio.

Käytän itse toimintoa usein − joskin vain kuuntelijan roolissa − ja olen malliin tykästynyt: kappalevalinnat ovat automaattisesti kappaleita soittolistan jatkoksi lätkivää Radio-toimintoa parempia, ja onhan toiminnossa hieman yhteisöllisyyttäkin.

En kuitenkaan ole itse koskaan Broadcast-lähetystä luonut, sillä pelko tekijänoikeusmafian hyökkäävän kimppuuni saman tien on estänyt sen: vaikka toistaminen tapahtuukin täysin Groovesharkin palvelinten kautta, on lähetyksen isäntä silti tiskijukan roolissa. Joku voisi tulkita asiaa niin, että kanavan perustaja olisi tällöin myös tekijänoikeudellisessa vastuussa, ja tarvitsisi asianmukaiset luvat ja lisenssit.

Hain tekijänoikeusasioihin selvyyttä kysymällä asiasta kolmelta suomalaiselta organisaatiolta: äänitetuottajien kattojärjestö Musiikkituottajilta, sekä tekijänoikeusjärjestö Gramexilta ja Teostolta. Lähetin tiedustelun myös Groovesharkille, mutta en saanut heiltä vastausta.

Gramexin kanta on, että asia ei kuulu heille. Viestiini vastasi medialisensointipäällikkö Juhani Ala-Hannula:

Kyselemäsi kaltaiset interaktiiviset musiikkipalvelut ja niissä mahdollisesti mukana olevat erilaiset lisä- ja kanavapalvelut eivät kuulu Gramexin hallinnointiin tai lisensoinnin piiriin [–].

Musiikintuottajien puolesta vastasi toiminnanjohtaja Lauri Rechardt. Hänelle Broadcast-toiminto oli toimintatavaltaan tuntematon, minkä johdosta hän ei ottanut sen laillisuuteen kantaa. Rechardt kommentoi kuitenkin Grooveshark-palvelun ja sen käyttäjien tekijänoikeusvastuuta yleensä:

Mikäli Groovesharkin käyttäjät saattavat musiikkia yleisön saataville ilman lupaa, ovat myös palvelun käyttäjät vastuussa loukkauksista — tosin ainoastaan niiden äänitteiden osalta joita käyttäjät itse saattavat yleisön saataville.

Käytännössä kanteiden nostaminen yksittäisiä käyttäjiä vastaan on kuitenkin erittäin epätodennäköistä, koska palvelun ylläpitäjät ovat tiedossa ja heitä vastaan on siis jo nostettu kanteita Yhdysvalloissa.

Teoston palvelukehityspäällikkö2 Jouni Sirén huomautti, ettei Groovesharkilla ole tarvittavaa toimintalisenssiä Suomessa. Se on kuitenkin Groovesharkin itsensä, ei palvelun käyttäjän, ongelma:

Lisensioinnin tulisi tapahtua GrooveSharkin toimesta, elleivät he sitten
itse erikseen selkeästi konseptoi palveluaan siten että loppukäyttäjän
tulisi tämä lisensiointi hoitaa. Meidän kannaltamme kiinnostava taho tässä
tapauksessa on palvelun tarjoaja, ei yksittäinen käyttäjä.

Vastauksista päätellen näyttäisi siis siltä, ettei Broadcast-lähetyksen isännän tarvitse hankkia lupaa touhulleen, vaan kuka tahansa voi hyvillä mielin perustaa oman Broadcast-kanavan, ja soittaa tilaajille musiikkia Groovesharkin laajasta valikoimasta.

Groovesharkilla itsellään sen sijaan olisi tekijänoikeuksien selvittämisessä tehtävää, mistä sekä Teoston Sirén että Musiikintuottajien Rechardt muistivat mainita vastauksissaan. Sääli, ettei Groovesharkilta saatu vastausta tähän kirjoitukseen− olisi ollut mielenkiintoista tietää, onko suomalaisten tahojen kanssa edes yritetty neuvotella.

En tiedä, onko ”laillisissa” suoratoistopalveluissa, kuten Spotifyssa, vastaavaa toimintoa. Jos toiminto löytyy, on käyttäjän tietenkin vielä turvallisempaa käyttää tuollaista palvelua. Itse en voisi harkita Groovesharkista pois vaihtamista tuolloinkaan, sillä mistään muualta ei löydy käytännössä lainkaan aasialaista musiikkia, kuten itseäni kiehtovaa j-poppia3.


Disclaimer: En ole lakimies, eikä tätä kirjoitusta kannata pitää absoluuttisena totuutena. En ota vastuuta, jos joku haastaa sinut oikeuteen.
1) Suomenkielinen käännös puhuu livelähetyksestä.
2) Käänsin tämän itse ”Head of Service Development” -tittelistä.
3) Tai ainakaan en ole törmännyt moiseen palveluun. Jos sinä olet, kerro asiasta kommenteissa.

Poliisikin vakoilee sinua pian

Posted onLeave a comment

Vuo­den­vaih­tees­ta al­kaen po­lii­si voi asen­taa hait­ta­oh­jel­man epäil­lyn ko­neel­le seu­ra­tak­seen tä­tä. En hy­väk­sy, kos­ka muut­kin jou­tu­vat kär­si­mään.

Kuva: Open­clip­art

”Poliisi hankkii oman vakoiluohjelman”, uutisoi Helsingin Sanomat tänään nettisivuillaan. Mistään NSA:n PRISM-vakoiluohjelmasta ei kuitenkaan ole kyse, vaan otsikolla HS koittaa kalastella lukijoita Facebookista.

Aihe on kuitenkin vakava: ensi vuodesta alkaen poliisi voi asentaa salaa haitta­ohjelman tietyistä rikoksista epäiltyjen tietokoneelle, mobiili­laitteille ja kahvin­keittimiin. Ihan puskista ei tämä uusi mahdollisuus tullut, sillä esitykset poliisi-, esitutkinta- ja pakko­keino­lain­säädännön muuttamiseksi olivat tapetilla jo helmikuussa 2011, jolloin itsekin asiasta kirjoitin.

Ainakaan heti vuodenvaihteessa ei Ville Warettajan tarvitse pelätä, että poliisi ujuttaisi koneelle haitakkeita TTVK:n pyynnöstä, sillä HS:n mukaan ”[s]euranta voi kohdistua vain sellaisiin ihmisiin, joita epäillään muun
muassa terrorismirikoksesta, henkirikoksesta, törkeästä lapsen
seksuaalisesta hyväksikäytöstä, törkeästä talousrikoksesta, törkeästä
huumerikoksesta tai törkeästä vahingonteosta”, ja silloinkin vain oikeuden luvalla.

Oma näkemykseni on kuitenkin edelleen se, että kaikenlaisten ei-toivottujen ohjelmistojen asentaminen on aina paheksuttavaa riippumatta siitä, onko kohteena raskaan sarjan lastenraiskaaja, tekijänoikeustaparikollinen vai tavallinen kadunmies; tai siitä, toimiiko asentajana poliisi, tekijänoikeusmafia vai rikollisryhmä.

Suurin ongelma tässä sivulliset kärsijät, collateral damage. Käytännössä tietokoneeseen murtautuminen ynnä sen käytön ja tietosisällön vakoilu vaarantaa myös muiden kuin suunnitellun kohteen tietoturvan ja oikeuden yksityisyyteen. Esimerkkejä:

  • Haittaohjelma asennetaan väärään laitteeseen. Esimerkiksi ISP:ltä saadun IP:n perusteella murtaudutaan Internetin välityksellä koneelle, joka ei olekaan epäillyn. IP voi olla vaihtanut haltijaa, tai piuhan päässä voi olla kyläilemässä olevan kone.
  • Laitteella on useita käyttäjiä. Vaikka itselläni on tyystin omassa käytössäni useita tietokoneita, monissa kotitalouksissa samaa tietokonetta käyttää moni henkilö. Tällöin vakoilun rajaaminen vain epäiltyyn on vähintäänkin haasteellista.
  • Laitteella on luottamuksellisia tietoja, esimerkiksi henkilörekistereitä. Varsinkin palvelinkoneissa on usein erilaisia tietokantoja ja muita rekistereitä, joista voi löytyä hyvinkin arkaluonteisia tietoja muistakin kuin epäillystä.
  • Poliisimiehen uteliaisuus. Vaikka periaatteessa haittaohjelman käyttöön vaaditaan tuomioistuimen lupa, en usko että asentaminen ilman lupaa esimerkiksi julkkiksen tai oman vaimon koneelle olisi teknisesti mahdotonta. Korkean moraalitason olettaminen ei riitä.

Vaikka jollain tavoin varmistettaisiin, ettei oheisvahinkoa pääse syntymään, ei haittaohjelma siltikään ole ”syyttömille” vaaraton, sillä lainsäädäntö voi muuttua. Tulevaisuudessa, kun lippalakin hallussapito on laitonta, voidaan uusia rikosepäilyjä lisätä listalle lakia muuttamalla. Voisin kuvitella, että vaikkapa TTVK olisi kiinnostunut haittaohjelman käytöstä jo nyt.

En halua kuitenkaan täysin tyrmätä käytönseurantaohjelmien käyttöä poliisin apuna. Tällaista ohjelmaa voitaisiin käyttää samaan tapaan kuin seurantapantaa, eli tuomitun rikollisen suostumuksella ja tämän tietäen. Toki tällöin haittaohjelman käyttötarkoitus pitäisi miettiä uudelleen, mutta näin olisi mielestäni hyvä tehdä joka tapauksessa.

Kotimaisen valtiontroijalaisen torjumiseen ei ole oikeastaan mitään uusia keinoja. Pitämällä käyttöjärjestelmän ja sen ohjelmistot ajan tasalla pääsee jo pitkälle, ja tietoturvaohjelmistokin auttaa. Hesarin uutisessa F-Securen tutkimusjohtaja Mikko Hyppönen kertoo:

Tarkoituksenamme ei ole auttaa levittämään haittaohjelmia. Sillä ei ole
merkitystä, minkä maan viranomainen niitä käyttää. Jos tekisimme Suomen
viranomaisten kanssa yhteistyötä, niin sitten varmasti Ruotsikin
haluaisi samaa. Ja Viro. Ja Saksa. Ja Italia. Ja Israel. Ja Syyria.

Silti siihen kannattaa totutella, että tietokoneellasi ja Internetissä tekemistäsi kyttäävät lähitulevaisuudessa − tai jo nyt − niin rikolliset, poliisi, mainostajat kuin palveluntarjoaja. Kuka liittyy listaan seuraavaksi?

Sinuakin vakoillaan

Posted onLeave a comment

Vii­me ai­koi­na on pu­hut­tu pal­jon In­ter­net-va­koi­lus­ta. Pal­jas­tuk­set ovat kui­ten­kin vain pin­ta­raa­pai­su isom­paan on­gel­maan, jo­ka kos­ket­taa val­ti­oi­den ja yri­tys­ten li­säk­si myös yk­sit­täi­siä ih­mi­siä.
 Kuva: Mike_fleming: CCTV Camera. c ba 2.0

PRISM:n ja kumppaneiden tuleminen ihmisten tietoon on herättänyt monissa yrityksissä keskustelun siitä, missä luottamuksellista tietoa voidaan digitaalisesti säilyttää ilman, että jokin valtio on sitä urkkimassa. On hyvä, että asiasta nyt puhutaan, vaikka todellisuudessa sen aika olisi ollut paljon aiemmin.

Kun vielä 5-10 vuotta sitten tieto varastoitiin yrityksen omilla paikallisilla palvelimilla, niin nykyään ulkopuolisen palveluntarjoajan on annettu ottaa haltuun sähköpostit, ja tiedostotkin ovat kätevästi jonkun toisen hostattavana. Käteväksi homma käy myös NSA:lle tai muulle vakoilijalle: kun pääsyn saa − tavalla tai toisella − yhteen palveluun, pääsee käsiksi usean organisaation tietoihin. Myös yksittäiset ihmiset kärsivät vakoilusta joko suorasti tai epäsuorasti.


Kyse ei ole pelkästään siitä, että Yhdysvallat urkkisi muiden valtioiden puolustussalaisuuksia, vaan paljastunut vakoilu pitää nähdä osana laajempaa kokonaisuutta − jäävuoren huippuna. Jokaisella kohtuukokoisella valtiolla (ja myös joillakin yksityisillä yrityksillä) on varmasti tiedustelu- ja vakoilutoimintaa. Ajan hengen mukaisesti tämä sisältää myös Internet-vakoilun, tapahtuipa se linjoja kuuntelemalla tai palveluihin murtautumalla. Toiminta koskettaa valtioiden ja suuryritysten lisäksi myös pienempiä yrityksiä ja yksityisiä ihmisiä.

”Mutta eihän minulla yksilönä ole mitään salattavaa tai muita kiinnostavaa”, saatat nyt ajatella, etkä välttämättä ole täysin väärässä. Ajat kuitenkin muuttuvat, ja tulevaisuudessa nyt vähäpätöiset seikat voivat muuttua merkityksellisiksi − jopa vaarantaa yksilön oman turvallisuuden: Entä, jos rotuhygienia keskitysleireineen ja Zyklon B -myrkkyineen palaa muotiin? Kaukaa haettua, ehkä, mutta esimerkiksi Kiinassa jo ”vääränlainen” postaus keskustelufoorumeille saattaa aiheuttaa lähettäjälle tukalat oltavat.

Nyt jos koskaan on tartuttava toimeen, ja ryhdyttävä toimiin Internet-vakoilua vastaan, sillä pelkkä passiivinen ”ei kosketa minua” -ajattelu mahdollistaa orwellistisen Isoveli valvoo -maailman kehittymisen edelleen. Yksi ihminen ei voi pysäyttää muutosta, eikä edes oikeastaan estää omien tietojensa vakoilua. Omalla toiminnallaan voi kuitenkin laittaa NSA:n agentit ahkeroimaan koko rahan edestä.

Tärkeintä on lähteä ajatuksesta, että mikään Internetiin kytketty ei ole täysin turvassa. Salaamalla tietoja voi kuitenkin hankaloittaa niiden hyödyntämistä väärissä käsissä: esimerkiksi pilvipalveluihin lähetetyt valokuvat voi salakirjoittaa ennen lähettämistä. Näin palveluntarjoajakaan ei pääse tiedostojen sisältöihin käsiksi. Salaus ei ole ainoa eikä pomminvarma keino, mutta hyvä alku.