Sinuakin vakoillaan

Vii­me ai­koi­na on pu­hut­tu pal­jon In­ter­net-va­koi­lus­ta. Pal­jas­tuk­set ovat kui­ten­kin vain pin­ta­raa­pai­su isom­paan on­gel­maan, jo­ka kos­ket­taa val­ti­oi­den ja yri­tys­ten li­säk­si myös yk­sit­täi­siä ih­mi­siä.
 
Kuva: Mike_fleming: CCTV Camera. c ba 2.0

PRISM:n ja kumppaneiden tuleminen ihmisten tietoon on herättänyt monissa yrityksissä keskustelun siitä, missä luottamuksellista tietoa voidaan digitaalisesti säilyttää ilman, että jokin valtio on sitä urkkimassa. On hyvä, että asiasta nyt puhutaan, vaikka todellisuudessa sen aika olisi ollut paljon aiemmin.

Kun vielä 5-10 vuotta sitten tieto varastoitiin yrityksen omilla paikallisilla palvelimilla, niin nykyään ulkopuolisen palveluntarjoajan on annettu ottaa haltuun sähköpostit, ja tiedostotkin ovat kätevästi jonkun toisen hostattavana. Käteväksi homma käy myös NSA:lle tai muulle vakoilijalle: kun pääsyn saa − tavalla tai toisella − yhteen palveluun, pääsee käsiksi usean organisaation tietoihin. Myös yksittäiset ihmiset kärsivät vakoilusta joko suorasti tai epäsuorasti.


Kyse ei ole pelkästään siitä, että Yhdysvallat urkkisi muiden valtioiden puolustussalaisuuksia, vaan paljastunut vakoilu pitää nähdä osana laajempaa kokonaisuutta − jäävuoren huippuna. Jokaisella kohtuukokoisella valtiolla (ja myös joillakin yksityisillä yrityksillä) on varmasti tiedustelu- ja vakoilutoimintaa. Ajan hengen mukaisesti tämä sisältää myös Internet-vakoilun, tapahtuipa se linjoja kuuntelemalla tai palveluihin murtautumalla. Toiminta koskettaa valtioiden ja suuryritysten lisäksi myös pienempiä yrityksiä ja yksityisiä ihmisiä.

”Mutta eihän minulla yksilönä ole mitään salattavaa tai muita kiinnostavaa”, saatat nyt ajatella, etkä välttämättä ole täysin väärässä. Ajat kuitenkin muuttuvat, ja tulevaisuudessa nyt vähäpätöiset seikat voivat muuttua merkityksellisiksi − jopa vaarantaa yksilön oman turvallisuuden: Entä, jos rotuhygienia keskitysleireineen ja Zyklon B -myrkkyineen palaa muotiin? Kaukaa haettua, ehkä, mutta esimerkiksi Kiinassa jo ”vääränlainen” postaus keskustelufoorumeille saattaa aiheuttaa lähettäjälle tukalat oltavat.

Nyt jos koskaan on tartuttava toimeen, ja ryhdyttävä toimiin Internet-vakoilua vastaan, sillä pelkkä passiivinen ”ei kosketa minua” -ajattelu mahdollistaa orwellistisen Isoveli valvoo -maailman kehittymisen edelleen. Yksi ihminen ei voi pysäyttää muutosta, eikä edes oikeastaan estää omien tietojensa vakoilua. Omalla toiminnallaan voi kuitenkin laittaa NSA:n agentit ahkeroimaan koko rahan edestä.

Tärkeintä on lähteä ajatuksesta, että mikään Internetiin kytketty ei ole täysin turvassa. Salaamalla tietoja voi kuitenkin hankaloittaa niiden hyödyntämistä väärissä käsissä: esimerkiksi pilvipalveluihin lähetetyt valokuvat voi salakirjoittaa ennen lähettämistä. Näin palveluntarjoajakaan ei pääse tiedostojen sisältöihin käsiksi. Salaus ei ole ainoa eikä pomminvarma keino, mutta hyvä alku.

Suomalaiset artistit Groovesharkissa

Groovesharkissa on paljon musiikkia,
joista valtaosa on jaossa laittomasti.

Kuva: Openclipart

Kirjoitin aiemmin Grooveshark-musiikkipalvelusta, ja siinä ohimennen mainitsin, että palvelussa oleva musiikki on suurelta osin jaossa ilman sopimusta – toisin sanoen laittomasti. Groovesharkin sivuilta löytyy lista, jossa sopimuksen tehneet yhtiöt listataan, mutta suurista levy-yhtiöistä vain EMI komeilee listalla.

Mitähän sitten suomalaisten artistien musiikkia kustantavat yhtiöt oikeastaan ajattelevat Groovesharkista? Lähestyin viittä merkittävää Suomessa toimivaa levy-yhtiötä sähköpostitse.
Tiedusteluviestissä kysyttiin yhtiön suhtautumista Groovesharkissa olevaan musiikkiin ja mahdollisista suunnitelmista musiikin lisensoimiseksi Groovesharkiin.

Kotimaiset artistit ovat suurimmaksi osaksi kansainvälisten suurlevy-yhtiöiden suomalaisten osastojen listoilla. Tiedustelu lähetettiin seuraaville levy-yhtiöille¹:

  • Warner Music Finland: Antti Tuisku, Chisu, HIM, Juha Tapio, Laura Voutilainen, Sturm und Drang, Vesa-Matti Loiri ja muita.
  • Sony Music Entertainment Finland: Anna Abreu, Egotrippi, Indica, Katri Ylander, Pariisin kevät, Teleks, Waldo’s People ja muita.
  • EMI Music Finland: CMX, Haloo Helsinki!, Jorma Kääriäinen, Lovex, Mikko Kuustonen, Neljä ruusua, Topi Sorsakoski ja muita.
  • Universal Music: Kolmas nainen, Lauri Tähkä & Elonkerjuu,  Maria Lund, Munamies, Olavi Uusivirta, Puhuva kone, Stella ja muita.
  • Playground Music Finland: Apulanta, Ezkimo, Jarkko Martikainen, Poets of the Fall, The Rasmus, Rytmihäiriö, YUP ja muita.

Tiedusteluun oli vastannut tätä kirjoittaessa Sony Music Entertainment Finlandin digital director Saara Pekkonen ja Playground Musicilta Tom Pannula.

Pannula ilmoitti, että heillä on sopimus Merlin Network -yhtiön kanssa, joka puolestaan ilmeisesti kokeilee Groovesharkia ainakin jollain asteella. Merlin Network on indieartisteja edustava voittoa tavoittelematon yhtiö. Tiedustelin Merlin Networkiltä lisätietoja asiaan liittyen, mutta tätä kirjoittaessa ei vastausta vielä oltu saatu.

Sony Music Entertainment Finlandin Pekkonen kertoi, että heidän artistiensa musiikki on palvelussa tällä hetkellä luvatta ja vasten heidän tahtoaan. Kuitenkin heillä on hyviä kokemuksia Spotifyn suhteen, ja he uskovat pilvimusiikkipalvelujen yleistyvän edelleen:

Streamauspalvelut tulevat varmasti olemaan edelleen ja tulevaisuudessa olemaan vielä entistä vahvempia – syy piilee ihmisten tavasta käyttää/kuluttaa ja ”omistamisen[” ]ajatuksen muutoksesta.

Pekkonen kuitenkin on sitä mieltä, että Grooveshark ei – ainakaan vielä – ole sen mittaluokan palvelu, että siihen mukaan lähdettäisiin. Pekkonen käyttää tässä termiä ”lähikuukausina”, jonka näen kertovan omaa kieltään Internetin mukanaantuomasta hektisyydestä myös musiikkibisnekseen.

Warnerilta, EMI:ltä ja Universalilta ei saatu vastausta. EMI:llä on sopimus Groovesharkin kanssa, joten olisikin ollut mielenkiintoista kuulla heidän näkemyksiään asiasta.²

Oma näkemykseni Groovesharkin suhteen on, että levy-yhtiöiden kannattaisi ennemminkin ottaa rahaa ja antaa musiikin soida kuin taistella laitonta kuuntelua vastaan – tai vain passiivisena möllöttää taustalla. Uskoisin, että myös artisteilla – varsinkin niillä pienemmillä – voisi olla suurtakin mielenkiintoa pilvipalveluja kohtaan, jotta heidän musiikkinsa tulisi ylipäänsä kuulluksi.

Ohessa vielä tiivistelmä tämän ”kyselykierroksen” tuloksista taulukkomuodossa:

Levy-yhtiö Musiikkia GS:ssa? Sopimus GS:n kanssa? Suhtautuminen GS:ssa olevaan musiikkiin
Warner Kyllä Ei Ei tied.
Sony Kyllä Ei Kielteinen
EMI Kyllä Kyllä Ei tied.
Universal Kyllä Ei Ei tied.
Playground Kyllä Epäselvä Epäselvä


1) Mainitut artistit ovat vain valitsemiani otoksia levy-yhtiön kotimaisista artisteista.
2) Vinkiksi Warnerille, EMI:lle ja Universalille: mahdolliset vastineet ja oikaisut voi jättää myös kommentteihin 😉

Pilvessä piilee vaara

Kuvan kumpupilvet eivät liity tapaukseen.
Kuva: Cumulus clouds in fair weather/ Michael Jastremski
CC-By-SA-2.0 Generic

Viime vuosina erilaiset pilvipalvelut – eli Internetissä hajautetusti toimivat tallennustila- ja muut toteutukset – ovat nousseet pinnalle, sillä ne tarjoavat varsin kustannustehokkaasti laskentatehoa ja tallennuskapasiteettia. Tällaisissa palveluissa on kuitenkin riskinsä.

Yksityisille kuluttajillekin tarjotaan nykyään pilvipalveluita: esimerkkeinä mainittakoon Dropbox-tiedostonvarastointipalvelu¹ ja Amazon Cloud Player¹ -musiikkipalvelu. Yritysten käyttöön palveluita on toki laskentapilvistä CDN²-pilviin.

Nopeasti ajateltuna tällaisessa palvelussa on vain etuja: saatavuus on hyvä, ja hinta omien laitteiden/ konesalien ylläpitoon nähden suorastaan naurettavan edullinen. Kun palveluita vielä markkinoidaan turvallisina ja helppokäyttöisinä, saattaa pilveen pääsy vaikuttaa ohittamattomalta mahdollisuudelta.

Varmistuminen siitä, että
verkon toisessa päässä oleva
taho ei vuoda tietojasi, on
vaikeaa, ellei mahdotonta.
Kuva: Openclipart.

Mutta kuka sitten loppujen lopuksi takaa yksityisyyden ja tietoturvan? Verkkopalveluissa kaikenkattavat vastuuvapautusklausuulit ovat arkipäivää, ja esimerkiksi yrityksen liikesalaisuuksien valuessa kilpailijoiden käsiin palvelun toimintahäiriön yhteydessä voi aiheuttaa enemmänkin kuin pahaa mieltä johtoportaassa.

Mainitsemani toimintahäiriö ei ole tuulesta temmattu mahdottomuus: Dropbox tiedotti maanantaina (20.6.11) blogissaan, että tunnistautumismekanismissa ollut ohjelmistovirhe mahdollisti kirjautumisen tilille kuin tilille ilman salasanaa neljän tunnin ajan. Vaikka Dropboxin mukaan alle prosentti sen käyttäjistä kirjautui tililleen tuona aikana, on jo siinä ainekset totaaliseen katastrofiin jonkun käyttäjän kohdalta.

Kun vielä päivittäin uutisoidaan, että siihen-ja-siihen palveluun on murtauduttu ja saatu N määrä – yleensä tuhansia – käyttäjätunnuksia ja salasanoja tietoon, on aiheellista kyseenalaistaa tällaisten kolmansien osapuolien ammattitaito yksityisten tietojen käsittelyn suhteen.

En sano, että pilvipalvelut olisivat läpeensä täynnä tietoturva-aukkoja, ja että niitä tulisi vältellä kaiken uhallakin, vaan suosittelen kartoittamaan hieman niitä riskejä, joita palveluiden käytöllä voi olla.

Yritysten ei pitäisikään aliarvoida ja -mitoittaa omaa IT:tään, vaan päinvastoin panostaa siihen. Omien palvelimien tietoturvasta voi kuitenkin olla niin varma, kuin ammattitaito riittää, ja osaavia IT-ammattilaisia Suomessa varmasti riittää.

Yksityishenkilöille pilvipalvelut voivat vaikuttaa edulliselta varmuuskopiointitavalta, mutta eivätpä ulkoiset kiintolevyt tänä päivänä paljoa maksa. Ulkoiselta kovalevyltä – kun levyä säilytetään turvallisesti – niiden nolojen valokuvien joutuminen Internetiin naapureiden naurettavaksi on kuitenkin melko epätodennäköistä.

Vielä lopuksi toisenlainen näkökulma Internettiin kytkettyjen tietokoneiden voimasta: Suomalainen Renderfarm.fi tarjoaa ilmaisen alustan 3D-renderöintiin käyttäen renderöintiin vapaaehtoisten lahjoittamaa suoritinaikaa. Palvelu voitti World Summit Awardissa tänä vuonna, ja itsellänikin pyörii taustasovellus käyttämässä suorittimeni joutuaikaa hyväksi.

1) Valitsin tähän kaksi ensimmäisenä mieleen tullutta esimerkkiä.
2) CDN – Content distribution network: Wikipedia.