Mennyttä ja tulevaa, osa 2017

Blogini päivitystahti on näemmä nykyään vakiintunut tähän postaus per vuosi -tahtiin, sillä vaikka tänä vuonna hyviä kirjoittelun aiheita olisi ollut viime vuotta enemmän, en kaikilta kiireiltäni ole ehtinyt kirjoittaa näistä pitkiä pätkiä. Jos kaipaat tiuhempaa tahtia, kannattaa meikäläistä seurata Twitterin puolella. Tässä postauksessa kuitenkin tutulla kaavalla vuoden 2017 kohokohdat.

Jatka lukemista >>

Mennyttä ja tulevaa, osa 2016

Vuonna 2016 blogini on viettänyt hiljaiseloa, ja tähän on oikeastaan kolme syytä, johon pureudun alla. En myöskään anna sellaista uudenvuodenlupausta, että vuonna 2017 kirjoittaisin yhtään nykyistä aktiivisemmin, mutta onhan kaikki aina mahdollista. Kaikesta huolimatta näin silti aiheelliseksi käydä tutulla kaavalla mennyttä vuotta läpi ja arvioida tulevaa.

Jatka lukemista >>

Poliisikin vakoilee sinua pian

Vuo­den­vaih­tees­ta al­kaen po­lii­si voi asen­taa hait­ta­oh­jel­man epäil­lyn ko­neel­le seu­ra­tak­seen tä­tä. En hy­väk­sy, kos­ka muut­kin jou­tu­vat kär­si­mään.

Kuva: Open­clip­art

”Poliisi hankkii oman vakoiluohjelman”, uutisoi Helsingin Sanomat tänään nettisivuillaan. Mistään NSA:n PRISM-vakoiluohjelmasta ei kuitenkaan ole kyse, vaan otsikolla HS koittaa kalastella lukijoita Facebookista.

Aihe on kuitenkin vakava: ensi vuodesta alkaen poliisi voi asentaa salaa haitta­ohjelman tietyistä rikoksista epäiltyjen tietokoneelle, mobiili­laitteille ja kahvin­keittimiin. Ihan puskista ei tämä uusi mahdollisuus tullut, sillä esitykset poliisi-, esitutkinta- ja pakko­keino­lain­säädännön muuttamiseksi olivat tapetilla jo helmikuussa 2011, jolloin itsekin asiasta kirjoitin.

Ainakaan heti vuodenvaihteessa ei Ville Warettajan tarvitse pelätä, että poliisi ujuttaisi koneelle haitakkeita TTVK:n pyynnöstä, sillä HS:n mukaan ”[s]euranta voi kohdistua vain sellaisiin ihmisiin, joita epäillään muun
muassa terrorismirikoksesta, henkirikoksesta, törkeästä lapsen
seksuaalisesta hyväksikäytöstä, törkeästä talousrikoksesta, törkeästä
huumerikoksesta tai törkeästä vahingonteosta”, ja silloinkin vain oikeuden luvalla.

Oma näkemykseni on kuitenkin edelleen se, että kaikenlaisten ei-toivottujen ohjelmistojen asentaminen on aina paheksuttavaa riippumatta siitä, onko kohteena raskaan sarjan lastenraiskaaja, tekijänoikeustaparikollinen vai tavallinen kadunmies; tai siitä, toimiiko asentajana poliisi, tekijänoikeusmafia vai rikollisryhmä.

Suurin ongelma tässä sivulliset kärsijät, collateral damage. Käytännössä tietokoneeseen murtautuminen ynnä sen käytön ja tietosisällön vakoilu vaarantaa myös muiden kuin suunnitellun kohteen tietoturvan ja oikeuden yksityisyyteen. Esimerkkejä:

  • Haittaohjelma asennetaan väärään laitteeseen. Esimerkiksi ISP:ltä saadun IP:n perusteella murtaudutaan Internetin välityksellä koneelle, joka ei olekaan epäillyn. IP voi olla vaihtanut haltijaa, tai piuhan päässä voi olla kyläilemässä olevan kone.
  • Laitteella on useita käyttäjiä. Vaikka itselläni on tyystin omassa käytössäni useita tietokoneita, monissa kotitalouksissa samaa tietokonetta käyttää moni henkilö. Tällöin vakoilun rajaaminen vain epäiltyyn on vähintäänkin haasteellista.
  • Laitteella on luottamuksellisia tietoja, esimerkiksi henkilörekistereitä. Varsinkin palvelinkoneissa on usein erilaisia tietokantoja ja muita rekistereitä, joista voi löytyä hyvinkin arkaluonteisia tietoja muistakin kuin epäillystä.
  • Poliisimiehen uteliaisuus. Vaikka periaatteessa haittaohjelman käyttöön vaaditaan tuomioistuimen lupa, en usko että asentaminen ilman lupaa esimerkiksi julkkiksen tai oman vaimon koneelle olisi teknisesti mahdotonta. Korkean moraalitason olettaminen ei riitä.

Vaikka jollain tavoin varmistettaisiin, ettei oheisvahinkoa pääse syntymään, ei haittaohjelma siltikään ole ”syyttömille” vaaraton, sillä lainsäädäntö voi muuttua. Tulevaisuudessa, kun lippalakin hallussapito on laitonta, voidaan uusia rikosepäilyjä lisätä listalle lakia muuttamalla. Voisin kuvitella, että vaikkapa TTVK olisi kiinnostunut haittaohjelman käytöstä jo nyt.

En halua kuitenkaan täysin tyrmätä käytönseurantaohjelmien käyttöä poliisin apuna. Tällaista ohjelmaa voitaisiin käyttää samaan tapaan kuin seurantapantaa, eli tuomitun rikollisen suostumuksella ja tämän tietäen. Toki tällöin haittaohjelman käyttötarkoitus pitäisi miettiä uudelleen, mutta näin olisi mielestäni hyvä tehdä joka tapauksessa.

Kotimaisen valtiontroijalaisen torjumiseen ei ole oikeastaan mitään uusia keinoja. Pitämällä käyttöjärjestelmän ja sen ohjelmistot ajan tasalla pääsee jo pitkälle, ja tietoturvaohjelmistokin auttaa. Hesarin uutisessa F-Securen tutkimusjohtaja Mikko Hyppönen kertoo:

Tarkoituksenamme ei ole auttaa levittämään haittaohjelmia. Sillä ei ole
merkitystä, minkä maan viranomainen niitä käyttää. Jos tekisimme Suomen
viranomaisten kanssa yhteistyötä, niin sitten varmasti Ruotsikin
haluaisi samaa. Ja Viro. Ja Saksa. Ja Italia. Ja Israel. Ja Syyria.

Silti siihen kannattaa totutella, että tietokoneellasi ja Internetissä tekemistäsi kyttäävät lähitulevaisuudessa − tai jo nyt − niin rikolliset, poliisi, mainostajat kuin palveluntarjoaja. Kuka liittyy listaan seuraavaksi?

Sinuakin vakoillaan

Vii­me ai­koi­na on pu­hut­tu pal­jon In­ter­net-va­koi­lus­ta. Pal­jas­tuk­set ovat kui­ten­kin vain pin­ta­raa­pai­su isom­paan on­gel­maan, jo­ka kos­ket­taa val­ti­oi­den ja yri­tys­ten li­säk­si myös yk­sit­täi­siä ih­mi­siä.
 
Kuva: Mike_fleming: CCTV Camera. c ba 2.0

PRISM:n ja kumppaneiden tuleminen ihmisten tietoon on herättänyt monissa yrityksissä keskustelun siitä, missä luottamuksellista tietoa voidaan digitaalisesti säilyttää ilman, että jokin valtio on sitä urkkimassa. On hyvä, että asiasta nyt puhutaan, vaikka todellisuudessa sen aika olisi ollut paljon aiemmin.

Kun vielä 5-10 vuotta sitten tieto varastoitiin yrityksen omilla paikallisilla palvelimilla, niin nykyään ulkopuolisen palveluntarjoajan on annettu ottaa haltuun sähköpostit, ja tiedostotkin ovat kätevästi jonkun toisen hostattavana. Käteväksi homma käy myös NSA:lle tai muulle vakoilijalle: kun pääsyn saa − tavalla tai toisella − yhteen palveluun, pääsee käsiksi usean organisaation tietoihin. Myös yksittäiset ihmiset kärsivät vakoilusta joko suorasti tai epäsuorasti.


Kyse ei ole pelkästään siitä, että Yhdysvallat urkkisi muiden valtioiden puolustussalaisuuksia, vaan paljastunut vakoilu pitää nähdä osana laajempaa kokonaisuutta − jäävuoren huippuna. Jokaisella kohtuukokoisella valtiolla (ja myös joillakin yksityisillä yrityksillä) on varmasti tiedustelu- ja vakoilutoimintaa. Ajan hengen mukaisesti tämä sisältää myös Internet-vakoilun, tapahtuipa se linjoja kuuntelemalla tai palveluihin murtautumalla. Toiminta koskettaa valtioiden ja suuryritysten lisäksi myös pienempiä yrityksiä ja yksityisiä ihmisiä.

”Mutta eihän minulla yksilönä ole mitään salattavaa tai muita kiinnostavaa”, saatat nyt ajatella, etkä välttämättä ole täysin väärässä. Ajat kuitenkin muuttuvat, ja tulevaisuudessa nyt vähäpätöiset seikat voivat muuttua merkityksellisiksi − jopa vaarantaa yksilön oman turvallisuuden: Entä, jos rotuhygienia keskitysleireineen ja Zyklon B -myrkkyineen palaa muotiin? Kaukaa haettua, ehkä, mutta esimerkiksi Kiinassa jo ”vääränlainen” postaus keskustelufoorumeille saattaa aiheuttaa lähettäjälle tukalat oltavat.

Nyt jos koskaan on tartuttava toimeen, ja ryhdyttävä toimiin Internet-vakoilua vastaan, sillä pelkkä passiivinen ”ei kosketa minua” -ajattelu mahdollistaa orwellistisen Isoveli valvoo -maailman kehittymisen edelleen. Yksi ihminen ei voi pysäyttää muutosta, eikä edes oikeastaan estää omien tietojensa vakoilua. Omalla toiminnallaan voi kuitenkin laittaa NSA:n agentit ahkeroimaan koko rahan edestä.

Tärkeintä on lähteä ajatuksesta, että mikään Internetiin kytketty ei ole täysin turvassa. Salaamalla tietoja voi kuitenkin hankaloittaa niiden hyödyntämistä väärissä käsissä: esimerkiksi pilvipalveluihin lähetetyt valokuvat voi salakirjoittaa ennen lähettämistä. Näin palveluntarjoajakaan ei pääse tiedostojen sisältöihin käsiksi. Salaus ei ole ainoa eikä pomminvarma keino, mutta hyvä alku.