Neljä riskiä vapaudelle

George Orwellin kirja Vuonna 1984 on tänään
ajankohtaisempi kuin koskaan.
Kuva: Tuntematon ajattelija
Haluan esit­tää muu­ta­man huoles­tut­tavan esi­merkin siitä, miten yksi­tyi­syy­teemme puutu­taan tai halutaan puuttua. Vastaa­van­laisia suunni­telmia on toki muitakin, mutta nämä nousivat itsel­leni – median avus­tuk­sella tai ilman – mieleen ensim­mäisenä. Komment­teihin voi jättää omia huolen­aiheitaan.

Sormenjälkirekisteri

Suomalaisen passin biotunnistee-
seen kuuluu myös asianomaisen
sormenjäljet, jotka tallennetaan
rekisteriin.
Kuva: Noble. Public Domain

Jos haluaisin matkustaa Schengen-maiden ulkopuolelle, pitäisi minun hankkia passi. Mutta nykyään myönnettävä ”biopassi?” ei oikeastaan houkuttele. Sen sijaan, että kitisisin RFID-sirun tietoturvasta, huolettaa itseäni enemmänkin passin myöntämiseen vaadittu sormenjälkien tallentaminen tietokantaan.

Kun sormenjälkirekisteriä otettiin käyttöön vuonna 2009, olivat poliitikot ja muut virkaapitävät kilvan julistamassa kansalle, että tämä kaikki on vain heidän edukseen, eikä tietoja käytetä heitä vastaan. Nyt, vuonna 2011, kuitenkin eduskunnassa mietitään, tulisiko poliisin sittenkin päästä käsiksi rekisteriin vakavien rikosten tutkinnassa.

Lapsipornofiltteri

Vuonna 2007 tuli voimaan Laki lapsipornografian levittämisen estotoimista, ja Internet-operaattorit alkoivat asentaa omia DNS-suodattimiaan vuotta myöhemmin. Asiasta pidettiin mekkalaa, eikä vähiten suomalaisen lapsiporno.info -sivun jouduttua ilman pätevää syytä estolistalle.

Jo tuolloin valveutuneet kansalaiset huolestuivat sensuuriteknologian käytöstä muihinkin tarkoituksiin, vaikka heille vakuuteltiinkin muuta. Aika ajoin maamme päättäjät keksivät, miten kansan oloja voitaisiin entisestään parantaa laajentamalla estolista koskemaan milloin vihapuheita, milloin nettipokeria. Viimeksi asia nousi tapetille sisäasiainministeri Päivi Räsäsen tutustuttua Iltalehden uutiseen Onion-verkossa sijaitsevasta Thorlaudasta, ja keksittyään että lainsäädäntöä täytyy muuttaa1.

Haittaohjelmat ja tietotekninen vakoilu

Saksassa poliisit jo tunkeu-
tuvat troijalaisineen koneel-
le. Koska Suomessa?
Kuva: Openclipart

Kirjoitin keväällä, että Suomessa on kaavailtu poliisille mahdollisuutta murtautua tietokoneelle rikoksenselvittelyä varten. Saksassa tällainen toiminta on jo käynnissä, ja saksalainen Deutsche Welle kertoi verkkosivuillaan, että joissakin Saksan osavaltioissa poliisi on käyttänyt hakkeriryhmän esille nostamaa haittaohjelmaa, ”Bundestrojania” (”Valtiontroijalainen”), jolla voidaan vakoilla käyttäjää laajemminkin kuin mitä laissa on esitetty. Poliisit ovat kuitenkin kiistäneet käyttävänsä troijalaista lain vastaisesti.

Autojen sijainnin seuraaminen tiemaksun määrittelemiseksi

Autonavigaattori on hyvä
apuväline perille löytämiseen,
mutta täytyykö Isoveljenkin
tietää, minne menet?
Kuva: Openclipart

Silloin tällöin uutisiin nousee jonkun Tärkeän Ihmisen/Ryhmittymän ehdotus siitä, että autoveron sijaan/rinnalle pitäisi kehitellä sijaintiin ja ajankohtaan perustuva tie- tai ruuhkamaksu. Viimeksi tällaista julkisesti esitti liikenneministeri Merja Kyllönen.

Pääpiirteittäin idea on se, että satelliittipaikannuksen ja kaikkiin autoihin pakolla asennettavan laitteen avulla määriteltäisiin auton sijainti, ja sitten laskutettaisiin taajamissa ruuhka-aikaan ajelevia ihmisiä. ”Mut hei eiks olis hyvä idea, et valvottais nopeuksia samalla?” ja niin edelleen.

Mitä yritän sanoa

Nostin tässä esille neljä enemmän tai vähemmän ajankohtaista poimintaa siitä, miten aluksi luodaan lainsäädäntö, joka mahdollistaa yksilönvapauden ja -yksityisyyden valvomisen tai rajoittamisen teknisesti niin, että se vaikuttaa joko moraalisesti oikealta/neutraalilta, tai vaikuttaa vain marginaaliseen ryhmään. Tällä tavoin pyritään minimalisoimaan kohu, vaikkakin Suomessa erinäiset ryhmät ovat onneksi kiitettävän valveutuneita.

Sitten kun laki on saatu läpi ja käytäntöön, alkaa luodulle tekniikalle löytyä muitakin käyttötarkoituksia. Lakia rukataan koskemaan vähän sitä sun tätä, ja ultimaattisena tavoitteena rakkaassa isänmaassamme ei tapahdu enää lainkaan rikoksia.

Mutta eikö se ole hyvä että valvotaan? Vai oletko sä joku rikollinen? Kuka meistä ei ole rikkonut lakia ja päässyt kuin koira veräjästä, kun mitään järjestelmällistä valvontamekanismia ei ole? Ihan oikeasti. Minä ainakin olen rikollinen.

Ei myöskään ole minkäänlaista tapaa ennustaa, mikä tulevaisuudessa mahdollisesti muuttuu rikolliseksi, ja minkä selvittelyyn sitten käytetään sekalaisin perusteluin luotuja valvontajärjestelmiä. Tänäkin päivänä on maita, joissa vääristä mielipiteistä päätyy hirteen roikkumaan.

En halua, että minun jokaista askeltani ja näppäimenpainallustani valvotaan yleisen edun – tai minkään muunkaan – nimissä, ja siksi vastustankin jyrkästi kaikkia yksityisyyteen edes teoreettisesti puuttuvia rajoituksia.

1) En ole varma, mitä kaikkea Räsänen on tarkkaan ottaen asiaan lausunut, mutta Piraattipuolueen kannanotosta voinee vetää jotain johtopäätöksiä.

Jälleen uusi uhka viestintäsalaisuudelle

Joskus aikoinaan ajattelin eläväni valtiossa, jossa viestintä missä tahansa muodossa ei oletusarvoisesti kuulu kenellekään muulle kuin lähettäjälle ja vastaanottajalle. Tämä niin kirjeissä, puheluissa kuin sähköisessä viestinnässä. Monet kuvaavat sen olevan osa demokraattista valtiota.

Suomessahan asiat ovatkin hyvin, mutta IT-viikon uutisen mukaan Ruotsissa valmistellaan kovalla tohinalla lakia, joka antaa jatkossa mahdollisuuden tarkkailla kaikkea maan rajat ylittävää tietoliikennettä.

Mitenkä tämä sitten koskettaa suomalaisia? Siten, että leijonanosa tietoliikenteestämme länsimaihin kulkee Ruotsin kautta. Ja varmemmaksi vakuudeksi esitän ohessa Traceroute-ajon (itse asiassa komento oli tracepath) monen suomalaisen käyttämään Wikipediaan:

rikueskelinen@kserver-1337topU:~$ tracepath fi.wikipedia.org
1: kserver-1337topU.local (192.168.1.36) 0.224ms pmtu 1500
1: 192.168.1.1 (192.168.1.1) 6.774ms asymm 2
1: 192.168.1.1 (192.168.1.1) 2.405ms asymm 2
2: a91-155-136-1.elisa-laajakaista.fi (91.155.136.1) 38.410ms
3: 139.97.10.146 (139.97.10.146) 58.654ms
4: ae1.heltli-gw1.fi.elisa.net (139.97.6.238) 40.625ms asymm 5
5: ae1-10.bbr2.hel1.fi.eunetip.net (213.192.191.49) 40.522ms
6: as0-0.bbr1.sto1.se.eunetip.net (213.192.191.210) 50.060ms asymm 5
7: so1-0-0-0.bbr1.ams1.nl.eunetip.net (213.192.191.226) 78.773ms asymm 5
8: ams-ix.ge7-1.csw1-knams.wikimedia.org (195.69.145.176) 79.179ms asymm 5
9: rr.knams.wikimedia.org (91.198.174.2) 88.708ms reached
Resume: pmtu 1500 hops 9 back 251

Ja kas kas, kukas se siellä: ”as0-0.bbr1.sto1.se.eunetip.net (213.192.191.210)”. Ruotsissa siis käytiin matkalla Wikipediaan. En nyt ota kantaa siihen, kuinka Wikipedian palvelinten kotimaassa, USA:ssa, tietoliikennettä valvotaan, vaikkakin siitäkin voisi joskus oman artikkelinsa kirjoittaa.

Edelleenkin suosittelen kaikessa liikenteessä käyttämään salattua yhteyttä. Myös niissä vähemmän arkaluontoisissa, jotta saadaan riittävästi ”taustamelua”. Valitettavan usein vain Internetin käyttö on kovin vaikeaa salatusti.

Minua vakoillaan

IT-viikko uutisoi tänään siitä, kuinka Suomen valtiota ja aseteollisuuden yrityksiä on vakoiltu troijalaista apuna käyttäen. Kaikkien suureksi yllätykseksi (…not) Suojelupoliisi ei antanut tietoja siitä, minne tarkalleen ottaen on hyökätty.

Veikkaisin kuitenkin että sosiaalisen hyökkäyksen, jollainen tässä siis todennäköisesti on kyseessä, pystyisi toteuttamaan yhtä lailla niin vihollisvaltio, terroristijärjestö kuin mikä tahansa muu pahantahtoinen organisaatio. Ja miksei yksittäinen Script Kiddiekin. Vaara on kuitenkin yhtäläinen riippumatta hyökkääjän alkuperästä.

Vaara? Niin, veikkaan että nämä jotka menevät kliksuttelemaan minkä tahansa klikkaa-minua.exe:n auki eivät muutenkaan ole tietoturvallisen tietojenkäsittelyn mestareita. Ja kas kummaa, jotkut ihmiset käsittelevät ihan työksensä toisten ihmisten henkilöllisyystietoja ja muita henkilökohtaisia tietoja.

Tästä taas voidaan rakentaa sellainen skenaario, että mikäli jostain syystä joku haluaisi ryhtyä identiteettivarkaaksi, olisi hänellä ”portit auki taivaita myöten” tehdä se. Ja tällainen taas on aika pelottavaa. Eikä pidä unohtaa sitä, että kirjaimellisesti valtionsalaisuuksiakin varmasti moni käsittelee tietokoneella työkseen.

Ei siinä, olen hyvin tietoinen siitä, että ECHELON tarkkailee tietoliikennettä monin tavoin, mutta en usko että se kuitenkaan salauksille vielä mitään voi, joten salaamalla liikenteen oltaisiin siltä turvassa. Mutta jossain vaiheessa salaus on purettava ihmistä varten, ja tähän väliin haittaohjelma haluaa ujuttautua tietoja urkkimaan.

Ja nyt minä kerron mitä asialle pitäisi tehdä: tietoturvaa pitäisi kasvattaa roimasti. Yksi askel voisi olla siirtyminen *nix-pohjaisiin järjestelmiin, joissa mm. omien ohjelmistojen esto on suoraan järjestelmässä, mutta eiköhän tuo onnistu myös redmondilaiselta jollain ohjelmistolla. En näe mitään tarvetta sille, että työkoneella olisi tarvetta ajaa mitään muita ohjelmia kuin niitä ennalta määrättyjä. Toisin sanoen nykyisten virustorjuntaohjelmistonen nk. blacklist-suodatuksesta täytyisi siirtyä pikaisesti whitelist-suodatukseen.

Toinen asia, mihin ei voi koskaan panostaa liikaa, on tietoturvan kasvattaminen ruudun ja penkin välissä. Käyttäjille täytyisi iskostaa kaaliin mahdollisimman kansantajuisesti että niitä linkkejä sähköpostissa ei klikkailla, vaikka sähköposti näyttäisi tulevan esimieheltä tai vaikka presidentiltä. Myös muunlaisiin hyökkäystekniikoihin (esim. phising) olisi ihmiset koulutettava suhtautumaan asianmukaisesti.

Summa summarum, nykyisellään näen että kenellä tahansa on pienellä vaivalla ja kiinnijäämisriskillä mahdollisuus hankkia mitä tahansa tietoja Suomesta, sen kansalaisista, yrityksistä ja asevoimista. Tämä on se pikku ongelma.