Päivitys H-Townin palvelinmurtoon liittyen

H-Townilta vastattiin heille esittämiini
kysymyksiin.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kirjoitin viikko sitten perjantaina 8.7. H-Townin palvelimelle murtautumisesta. Tiedustelin samalla H-Townilta lisätietoja asiaan liittyen. H-Townin Sales and marketing director Antti Peltomäki vastasi kysymyksiini.

Tässä päivityksessä käyn lyhyesti läpi nämä uudet tiedot. Edellistä kirjoitustani on myös päivitetty.


Peltomäki kertoo, että heidän näkemyksensä mukaan palvelimelle todennäköisesti ei murtauduttu varsinaisesti käyttäjätietojen hankkimista varten:

Lyhyesti sanottuna vaikuttaa siltä, että tietomurto oli enemmänkin kohdistettu serveriä kohtaan ja sitä käytettiin hyväksi floodaukseen. Ennen kuin meillä on tarkempaa tietoa, niin täytyy kuitenkin lähteä siitä, että myös käyttäjätiedot on saatu haltuun.

Mediassa asiasta kirjoitettiin vaihtelevalla luetun- ja kuullunymmärtämisellä, ja Peltomäki haluaa selventää myös mahdollisesti menetettyjen tietojen luonnetta:

Toisaalla uutisoinneissa taas oli kirjoitettu, että luottokorttitietojen ei epäillä joutuneen rikollisten haltuun. Tähän taas voi vastata suoraa, että tasan varmasti ei joutunut, sillä sellaisia tietoja emme ole koskaan keränneetkään. Ja asiakas- sekä tilaajatiedot taas sijaitsevat täysin toisella serverillä ja ovat siis turvassa.

Vaikka siis mitään ”kriittisiä” tietoja ei tässä menetetty, hoiti H-Town tämän asian mielestäni ihailtavan asiallisesti ja vakavasti.

Tämä ei tietenkään tarkoita, etteikö salasanojen vaihtamista silti kannattaisi tehdä, jos edellisessä kirjoituksessa mainitsemissani palveluissa tunnus on. Saman salasanan käyttö monessa paikassa on myös sellainen ongelma, johon saatan pureutua joku päivä kirjoituksessani.

Suomalaisten salasanoja väärissä käsissä

Tietomurto – todennäköisesti SQL-
injektio – aiheutti suomalaisen H-Townin
verkkosivujen käyttäjien tietojen vuotamisen.
Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

IT-viikko uutisoi tänään, että suomalainen H-Town on joutunut tietomurron kohteeksi. Kohteena olivat yhtiön Pelaaja-, Anime- ja WoW-lehti -verkkosivujen käyttäjien käyttäjätunnukset ja salasanat. Yhtiö on ajanut verkkopalvelunsa alas ja laatinut oman tiedotteen asiasta.

Jos olet edellä mainittujen lehtien verkkosivujen rekisteröitynyt käyttäjä, lue postaukseni lopusta toimintaohjeet tietojesi suojaamiseen.

IT-viikon uutisesta voidaan päätellä, että kyseessä olisi ollut nimenomaan verkkosivujen käyttäjätunnuksiin liittyvä murto, ja näin ollen todennäköinen hyökkäystapa olisi ollut SQL-injektio.

Huom: Tähän kirjoitukseen liittyen olen julkaissut tarkennuksen omana kirjoituksenaan.

Käyttäjätietojen tallennus ja suojaus verkkopalveluissa

Useat verkkopalvelut vaativat esim. foorumia tai rajattua sisältöä varten luomaan käyttäjätunnuksen ja salasanan. Tässä tapauksessa käyttäjätunnuksena lisäksi on vaadittu sähköpostiosoitetta. Kun käyttäjä rekisteröityy palveluun, palvelu tallentaa kirjautumistiedot tietokantaan, josta se niitä tarkistaa käyttäjän kirjautuessa.

Salasana voidaan tallentaa tietokantaan usealla tavalla. Yksinkertaisinta ja vaarallisinta on tallentaa salasana sellaisenaan. Tällöin tietokantaan murtautumalla saadaan suoraan käyttäjätunnus ja salasana.

Salasanat voidaan suolata tieto-
murrosta aiheutuvien vahinkojen
pienentämiseksi.

Kuva: Riku Eskelinen/ Salasanan
suolaus. PD/CC-0

Rikollista käyttöä voidaan vaikeuttaa tallentamalla salasanasta vain sen tarkastussumma, jota ei voida suoraan muuttaa takaisin salasanaksi. Tällöin jos tiedot joutuvat vääriin käsiin, salasanan saanti vaikeutuu, muttei muutu mahdottomaksi: rikollinen voi omalla järjestelmällään kokeilla silmänräpäyksessä tuhansia variaatioita, ja ennen pitkää oikea salasana löytyy.

Yleisesti käytössä oleva tapa on ”suolata” salasana palvelimen tuntemalla sisällöllä: salasanaan sekoitetaan palvelimen tietämällä tavalla palvelimen tietämä vakiosuttu, ja tämän jälkeen koko sisällöstä lasketaan tarkastussumma. Kun tietomurto kohdistuu vain tietokantaan, tätä erillään säilytettävää ”suolaa” ei saada käyttöön, ja tietovarkaan on huomattavasti vaikeampi – joskaan ei täysin mahdoton – saada salasanaa tietoonsa.

Tätä kirjoittaessa ei ole tiedossa, millä tavoin salasana oli suojattu. Tiedustelen asiaa H-Townilta, ja päivitän postaustani vastauksen mukaan.

H-Town kertoi, että salasanat olivat MD5-tarkastussummattuja ja suolattuja. Lisäksi yhtiön kertoman mukaan hyökkäys oli todennäköisemmin kohdistettu palvelinta kuin käyttäjätietoja vastaan. Yhtiö toimi kuitenkin vastuullisesti ottaessaan käyttäjätietojen vuotamisenkin huomioon.

Kuinka tietokannasta sitten saadaan tietoja?

Jos palvelun kirjautumislomakkeen syötteentarkastus on huonosti ohjelmoitu, on mahdollista, että pahantahtoinen käyttäjä voi syöttää esim. salasanakenttään tietokannalle tarkoitettuja komentoja. Sopivasti muotoilemalla on mahdollista näin muotoilla sellainen käyttäjätunnus tai salasana, joka saa palvelimen paljastamaan tietokannan sisällön. Tällaista hyökkäystä kutsutaan SQL-injektioksi, johon viittasin kirjoituksen alussa.

Huonosti käyttäjän syöttämien tietojen tarkistava
sivusto on altis väärinkäytöille SQL-injektioiden
kautta. Kuvakaappaus ei ole todellisesta verkko-
palvelusta.

Kuva: Kuvakaappaus (ei ylittäne teoskynnystä).

Tällaisilta hyökkäyksiltä on mahdollista suojautua tarkistamalla kaikki käyttäjän syötteet, ja poistaa turvallisuutta uhkaava sisältö. Nämä keinot ovat hyvin tunnettuja, ja yleisesti turvallisena pidettyjä.

Tätä kirjoittaessa en voi varmaksi sanoa, onko hyökkäys ollut SQL-injektiotyyppinen, mutta uskoisin näin IT-viikon uutisen ja H-Townin tiedotteen perusteella. Tiedustelen tätäkin asiaa H-Townilta.

H-Townin vastauksesta ei käynyt ilmi hyökkäystapaa, mutta vastauksessa kerrottiin, että ”– ennen kuin tarkempaa tietoa on, on varminta olettaa, että murtautujat ovat päässeet käsiksi kaikkeen mitä serverillä on.”

Miksi näin käy?

Vaikka suojautumismenetelmät ovat helposti käyttöönotettavissa ja hyvin tiedossa, ihminen on kuitenkin viime kädessä vastuussa palvelun tuotannosta. En tiedä, käyttikö H-Town omaa vai jonkun muun tuottamaa ohjelmistoa, mutta ohjelmiston kehittäjä on jostain syystä unohtanut tarkistaa tämän nimenomaisen syötteen.

Vaikka ohjelmoija on todennäköisesti ollut alan ammattilainen, tapahtuu silloin tällöin kuitenkin huolimattomuusvirheitä. Useimmiten tällaiset virheet ovat varsin huomaamattomia (jos ne olisivat selkeitä, ne korjattaisiin jo ennen käyttöönottoa), ja äärimmäisissä tapauksissa ne vaarantavat ihmisten tietosuojaa ja yksityisyyttä.

Olenko vaarassa? Mitä pitäisi tehdä?

Jos olet rekisteröitynyt käyttäjä H-Townin verkkosivuilla, salasanasi on saattanut joutua vääriin käsiin ja tietosi ovat vaarassa. H-Town ohjeistaa seuraavaa:

Jos käytät samaa käyttäjätunnusta ja salasanaa muissa kuin H-Townin verkkopalveluissa, suosittelemme varatoimenpiteenä vaihtamaan salasananne välittömästi. Kaiken varalta olisi suotavaa myös vaihtaa H-Townin sivustoilla käytetyt salasanat palveluiden tullessa takaisin linjoille. 

Jos siis olet toiminut fiksusti, etkä käytä samaa salasanaa muualla, voit olla levollisin mielin – kunhan muistat vaihtaa salasanasi¹ sitten kun H-Town saa palautettua verkkopalvelunsa.

Jos käytät samaa salasanaa muuallakin (erityisesti rekisteröitymiseen käyttämässä sähköpostissasi), on tärkeää vaihtaa kaikkien näiden palvelujen salasanat saman tien. Tehtävä saattaa tuntua työläältä, mutta yksityisyytesi kannalta se on välttämätöntä.

Jos et pysty kirjautumaan johonkin palveluun, ja epäilet, että pahantahtoinen käyttäjä on muuttanut kirjautumistietojasi, ota yhteys palvelun palveluntarjoajaan. Yleensä palveluntarjoajat pitävät kirjaa siitä, mistä palveluun on milloinkin kirjauduttu, ja on mahdollista vielä pelastaa tilisi. Lisäksi jos käyttäjätunnuksiasi käytetään väärin, on kyseessä rikos, ja sinulla saattaa olla mahdollisuus yhteistyössä poliisin kanssa saattaa väärinkäyttäjä edesvastuuseen.

Yhteenvetoa

H-Townin verkkopalveluiden kirjautumistietoja on siis viety. Tässä vaiheessa en tiedä, miten hyökkäys tehtiin ja minkä muotoisena salasanat vietiin. Tiedustelen tätä asiaa H-Townilta ja päivitän postausta, kun lisää tietoa tulee saataville.

H-Townilta kerrottiin, että palvelimelle murtauduttiin, ja että saattaa olla mahdollista, että tietoja on viety, vaikka hyökkäys vaikuttikin kohdistuvan palvelinta, eikä käyttäjätietoja, vastaan.

Disclaimerina kerrottakoon, että tässä postauksessa kertomani tilannearviot ovat omiani, ja perustuvat vahvasti tekemiini oletuksiin yleiseen IT-alan ja verkkopalvelujen tuntemukseeni pohjautuen. Mikäli kirjoituksessani on puutteita tai virheitä, jätä kommenttia. Myös muutenkin kommentointi on luonnollisesti sallittua.

1) Itse olisin palvelujen palauttamisen aikaan yksinkertaisesti pakottanut jokaisen käyttäjän vaihtamaan salasanansa.

Edit 8.7.11 17.02: Älä hämäänny linkin osoitteesta. Google keksii osoitteet puolestani, ja tällä kertaa se on tuollainen. 

Edit 14.7.11 18.08: Tietoja päivitetty H-Townilta saamieni lisätietojen perusteella. Lue lisäksi kirjoittamani päivitys.

Pilvessä piilee vaara

Kuvan kumpupilvet eivät liity tapaukseen.
Kuva: Cumulus clouds in fair weather/ Michael Jastremski
CC-By-SA-2.0 Generic

Viime vuosina erilaiset pilvipalvelut – eli Internetissä hajautetusti toimivat tallennustila- ja muut toteutukset – ovat nousseet pinnalle, sillä ne tarjoavat varsin kustannustehokkaasti laskentatehoa ja tallennuskapasiteettia. Tällaisissa palveluissa on kuitenkin riskinsä.

Yksityisille kuluttajillekin tarjotaan nykyään pilvipalveluita: esimerkkeinä mainittakoon Dropbox-tiedostonvarastointipalvelu¹ ja Amazon Cloud Player¹ -musiikkipalvelu. Yritysten käyttöön palveluita on toki laskentapilvistä CDN²-pilviin.

Nopeasti ajateltuna tällaisessa palvelussa on vain etuja: saatavuus on hyvä, ja hinta omien laitteiden/ konesalien ylläpitoon nähden suorastaan naurettavan edullinen. Kun palveluita vielä markkinoidaan turvallisina ja helppokäyttöisinä, saattaa pilveen pääsy vaikuttaa ohittamattomalta mahdollisuudelta.

Varmistuminen siitä, että
verkon toisessa päässä oleva
taho ei vuoda tietojasi, on
vaikeaa, ellei mahdotonta.
Kuva: Openclipart.

Mutta kuka sitten loppujen lopuksi takaa yksityisyyden ja tietoturvan? Verkkopalveluissa kaikenkattavat vastuuvapautusklausuulit ovat arkipäivää, ja esimerkiksi yrityksen liikesalaisuuksien valuessa kilpailijoiden käsiin palvelun toimintahäiriön yhteydessä voi aiheuttaa enemmänkin kuin pahaa mieltä johtoportaassa.

Mainitsemani toimintahäiriö ei ole tuulesta temmattu mahdottomuus: Dropbox tiedotti maanantaina (20.6.11) blogissaan, että tunnistautumismekanismissa ollut ohjelmistovirhe mahdollisti kirjautumisen tilille kuin tilille ilman salasanaa neljän tunnin ajan. Vaikka Dropboxin mukaan alle prosentti sen käyttäjistä kirjautui tililleen tuona aikana, on jo siinä ainekset totaaliseen katastrofiin jonkun käyttäjän kohdalta.

Kun vielä päivittäin uutisoidaan, että siihen-ja-siihen palveluun on murtauduttu ja saatu N määrä – yleensä tuhansia – käyttäjätunnuksia ja salasanoja tietoon, on aiheellista kyseenalaistaa tällaisten kolmansien osapuolien ammattitaito yksityisten tietojen käsittelyn suhteen.

En sano, että pilvipalvelut olisivat läpeensä täynnä tietoturva-aukkoja, ja että niitä tulisi vältellä kaiken uhallakin, vaan suosittelen kartoittamaan hieman niitä riskejä, joita palveluiden käytöllä voi olla.

Yritysten ei pitäisikään aliarvoida ja -mitoittaa omaa IT:tään, vaan päinvastoin panostaa siihen. Omien palvelimien tietoturvasta voi kuitenkin olla niin varma, kuin ammattitaito riittää, ja osaavia IT-ammattilaisia Suomessa varmasti riittää.

Yksityishenkilöille pilvipalvelut voivat vaikuttaa edulliselta varmuuskopiointitavalta, mutta eivätpä ulkoiset kiintolevyt tänä päivänä paljoa maksa. Ulkoiselta kovalevyltä – kun levyä säilytetään turvallisesti – niiden nolojen valokuvien joutuminen Internetiin naapureiden naurettavaksi on kuitenkin melko epätodennäköistä.

Vielä lopuksi toisenlainen näkökulma Internettiin kytkettyjen tietokoneiden voimasta: Suomalainen Renderfarm.fi tarjoaa ilmaisen alustan 3D-renderöintiin käyttäen renderöintiin vapaaehtoisten lahjoittamaa suoritinaikaa. Palvelu voitti World Summit Awardissa tänä vuonna, ja itsellänikin pyörii taustasovellus käyttämässä suorittimeni joutuaikaa hyväksi.

1) Valitsin tähän kaksi ensimmäisenä mieleen tullutta esimerkkiä.
2) CDN – Content distribution network: Wikipedia.

Ylipitkä esitys antaisi poliisin loukata tietoturvaa ja yksityisyyttä

Poliisilla voi olla pian valtuudet
murtautua verkon välityksellä
tietokoneelle.

Kuva: Unplugged, tekijä nige_mar.
CC-By-NC-SA 2.0

Sunnuntai-iltana erinäiset kotimaiset keskustelufoorumit ohjasivat minut Piraattipuolueen foorumille, jossa puolueen puheenjohtaja Pasi Palmulehto esittelee lausuntoluonnosta varsin kyseenalaisille esityksille poliisi-, esitutkinta- ja pakkokeinolainsäädännön muuttamiseksi. Paketti sisältää omasta mielestäni räikeitä loukkauksia yksityisyyteen ja on liian laaja käsiteltäväksi kokonaisuutena.


Viestissä kritisoidaan esitysten pituutta, eikä syyttä:

Kyse on paketista, johon kuuluu kaksi hallituksen esitystä, joihin sisältyy 93 lakiesitystä. Yhteensä nämä esitykset ovat noin 310 000 sanaa, eli lähes tuhannen äidinkielen ylioppilasaineen verran. Muille kuin virkatyönä asioihin perehtyville esityksiin tutustuminen on kohtuuttoman raskasta. Myös paketista päättävien kansanedustajien olisi pystyttävä kiireen keskellä perehtyä esityksiin.

On mielestäni varsin kyseenalaista tehdä esityspaketteja, jotka ovat noin tuhteja. Palmulehto kertoo Uuden Suomen – joka varsin asiallisesti uutisoi asiasta muiden ”vallan vahtikoirien” ollessa hiljaa – uutisessa myös seuraavaa:

Esitystä on ruotinut lähinnä
Piraattipuolue.
Kuva: Piraattipuolueen tunnus,
Piraattipuolue

Lakiesitys on niin laaja, ettei tähän pakettiin kukaan kansanedustaja jaksa perehtyä. He lukevat vain tiivistelmät ja äänestävät sitten niiden pohjalta. Tänne on piilotettu todella vakavia kohtia[.]

Mielestäni tällainen tilanne on huolestuttava, jos kansanedustajilta ei edes voi kohtuudella odottaa että he tuntisivat kaikki esitykseen kirjatut miinat. Eikä siinä, uskoisin että kansanedustajilla on muutakin tekemistä kuin selata liki 900-sivuinen¹ esitysnivaska läpi. Tällöin syntyy tilanne, jossa on äänestettävä osittain mututuntumalta, mikä on yhteiskunnallisesti vaarallinen uhka.

Pian voimme olla tilanteessa, jossa eri etujärjestöt runnovat lakiesityksiksi monituhatsivuisia eepoksia, joita kukaan ei edes lue, vaan luotetaan muiden luonnehdintaan sisällön laadusta. Näillekin esityksille varmasti erilaisia intressitahoja löytyisi, mutta en nyt ala tempaamaan tuulesta mielivaltaisia syytöksiä.

Millaisia uhkia esitykset sitten sisältävät erityisesti sähköisen tietoturvan ja yksityisyyden kannalta? Suurimpana uhkana pidän poliisille kaavailtua oikeutta ehkä jopa tarvittaessa murtautua tietojärjestelmään ja etsiä sieltä materiaalia – esitys puhuu etäetsinnästä. Tällaisella toiminnalla loukataan epäillyn lisäksi myös mahdollisesti monen muun – syyttömän – tietoturvaa ja yksityisyyttä, sillä en usko että on mitään pomminvarmaa keinoa eritellä, mikä materiaali kuuluu epäillylle ja mikä jollekin muulle.

Lausuntoluonnoksessa pidetään epäloogisena sitä, että ”laite-etsinnän suorittamiselle olisi huomattavasti matalampi kynnys kuin tekniselle kuuntelulle”. Jos näin todella on, lisääntyy poliisin mielivalta entisestään. Tänä päivänä tietokoneet kuitenkin sisältävät hyvin paljon henkilökohtaista ja arkaluontoista materiaalia käyttäjistään. Tällaisten yksityisten tietojen pakko-otolle pitäisi olla todella kovat perusteet sen sijaan että rimaa pyrittäisiin hivuttamaan alemmas. Kun vielä loukataan mahdollisesti lukuistenkin muiden oikeutta yksityisyyteen, olisi mielestäni kohtuullista että tietojen oton perusteena pitäisi olla vähintäänkin epäily taposta.

Itseäni huolestuttaa myös, mitä tiedoille tapahtuu sen jälkeen kun poliisi on rikoksen selvittämiseen tarvittavan materiaalin läpi kolunnut ja analysoinut. Jos todella tuomitaan rikoksesta, olisi kohtuullista että vain rikokseen suoraan liittyvä materiaali tuhotaan. Muu data tulee palauttaa omistajalleen tai omistajilleen. Myöskään poliisille ei saa antaa mielivaltaisia oikeuksia kahlata ihmisten kiintolevyjä läpi periaatteella ”jos sieltä joku rikos paljastuisi”. Lisäksi kun tutkinta on saatu päätökseen, tulee poliisin tuhota kaikki omat kappaleensa ei-relevantista datasta.

Lausuntoluonnos nostaa esiin myös huolen esitetystä oikeudesta ”tekniseen laitetarkkailuun”, mikä käytännössä voisi tarkoittaa esim. ohjelmallisen tai laitteisto-keyloggerin asentamista järjestelmään:

Ehdotetun pakkokeinolain 10:23 §:ssä olisi säädökset teknisestä laitetarkkailusta. Perustelujen mukaan laitetarkkailussa ei saa selvittää viestin tai tunnistamistietojen sisältöä. Toisaalta perustelujen mukaan teknisessä laitetarkkailussa saataisiin tutkia ”laitteeseen tallennettuja asiakirjoja” ja selvittää tarkkailtavan salasanoja ”näppäimistökuuntelulla”. Perusteltu ovat tältä osin hämmentävät. Eikö asiakirjan sisältämän tiedon tai näppäimistöllä kirjoitetun tekstin seuraaminen ole nimenomaan viestien sisällön selvittämistä?

Lopuksi luonnos esittelee epäkohdan poliisille kaavaillussa oikeudessa asentaa vihamielisiä ohjelmistoja salaa tietojärjestelmään:

Ehdotetussa pakkokeinolain 10:26 §:ssä säädettäisiin muun muassa ohjelmiston asentamisesta tietokoneeseen. Käytännössä pykälässä annetaan poliisille oikeus tehdä salaisia tietomurtoja jopa verkon välityksellä. Poliisille ei pidä antaa tällaista oikeutta, koska se vaarantaa tietoturvan.

Jos poliisille annetaan
oikeus asentaa haitta-
ohjelmia salaa, ovat
ongelmat moninaiset
ja vakavat.

Kuva: Openclipart

Jos poliisi murtautuu tietojärjestelmään, loukataan törkeästi epäillyn ja muidenkin yksityisyyttä, mikä itsessään on varsin huolestuttavaa. Murtautumisessa ja ohjelmistojen sala-asentamisessa ei voida millään eliminoida sitä mahdollisuutta, etteikö se altistaisi järjestelmää myös rikollisille tietomurroille. Poliisin tehtävä ei kuitenkaan mielestäni ole altistaa edes rikoksesta epäiltyjä rikoksille, vaan päin vastoin suojella rikoksilta.

On varsin tekopyhää väittää, etteikö rehellisellä kansalaisella olisi mitään pelättävää. Hyvin harvassa on sellainen suomalainen, joka ei joskus olisi jotain lakia rikkonut. Siksi onkin pidettävä erittäin kirkkaana mielessä pakkokeinon käytöstä aiheutuvan vahingon ja siitä saatavan hyödyn välinen suhde.

PP:n ehdokas Lilja Tamminen
kirjoittaa esityksistä kovin
sanoin blogissaan.

Kuva: liljat.fi

Kun esitykset vielä sisältävät omituisia yrityksiä madaltaa poliisin kynnystä aiheuttaa tällaista vahinkoa niin epäillylle kuin sivullisillekin, ei voi kuin haukkoa henkeään ja toivoa että edes Piraattipuolueen tänään jättämä luonnos todella luetaan huolella ja näihin useisiin epäkohtiin puututaan.

Mainittakoon lopuksi niille, joita pitkä ja tylsä kirjoitukseni ei kiinnostanut, että aiheesta kirjoitti myös Piraattipuolueen Helsingin vaalipiirin ehdokas Lilja Tamminen varsin napakasti blogissaan.


On myönnettävä, etten itsekään noita esityksiä ole jaksanut kahlata läpi, joten joku nokkela voisi väittää lähdekritiikkini olevan retuperällä. Deal with it, tai kommentoi.
1) Olettaen, että arkkikoko on A4, johon mahtuu noin 350 sanaa.

Hallitus esittää Suomeen varoituskirjeitä waretuksesta

IT-viikko uutisoi tänään lakiehdotuksesta, jonka toteutuessa ISP:iden asiakkaille alkaisi ilmaantua tekijänoikeusjärjestöjen laatimia ja operaattoreiden välittämiä ilmoituksia tekijänoikeusrikkomuksista.

Lakiesitykseen kuuluu ensinnäkin se, että tuomioistuin voi määrätä operaattorit antamaan tietoja liittymänhaltijasta jo silloin, kun asiaa asetetaan vireille. Tästäkin muutoksesta voisin kirjoittaa postauksellisen, mutta en sitä tässä nyt tee, sillä hallituksen esitykseen kuuluu myös ”pehmeiden keinojen” käyttöönottamista koskeva esitys.

Jos laki tulee voimaan ehdotuksen mukaisena, ”Suomessa toimiva tekijänoikeuden yhteishallinnointijärjestö tai muu ammattimaista tekijänoikeuksien valvontaa harjoittava organisaatio” voisi toimittaa operaattorille tiedon, että tekijänoikeutta on rikottu IP:ssä 248.45.165.1241 18. marraskuuta 2011 klo 17.46. Tämän jälkeen operaattorilla olisi velvollisuus välittää tämä viesti liittymänhaltijalle. Lakiesityksessä mainitaan, että näitä ilmoituksia ei rekisteröitäisi millään tavalla, eikä tätä kautta tekijänoikeusjärjestölle tulisi tietoa liittymänhaltijasta. Tuomioistuimen päätöksellä tiedon voisi saada, kuten nykyäänkin.

Esitys ei tunnu vakuuttavan oikein ketään. ”Muun maailman” mukaan se loukkaa yksityisyyttä ja on epätehokas ja tekijänoikeusjärjestöjen mukaan se on liian tehoton, kun he eivät pääse näihin tietoihin käsiksi eikä kirjeen lähettämisen lisäksi mitään muita toimenpiteitä voida tehdä. Piraattipuolue käsittelee esitystä blogissaan seuraavasti:

Itse asiassa vaikuttaa siltä, että opetus- ja kulttuuriministeriö on pyrkinyt laatimaan mahdollisimman vesitetyn kompromissin. Jotain on ollut oikeudenhaltijoiden lobbausvoiman alla ”pakko tehdä”, mutta on suostuttu vaatimuksiin mahdollisimman vähäisesti. —

Jyrki Kasvi (vihr.) oli ainoa esityksestä puheenvuoron antanut. Hän ei puheenvuorossaan uskalla olla vastaan eikä puolesta, mutta kuitenkin sanoo:

Teleyrityksillä on nimittäin jo nyt jonossa tätä lainsäädäntöä odottamassa kymmeniä tuhansia tällaisia pyyntöjä. Kävin juuri tänään äsken tilaisuudessa, jossa sain kuulla luvun olevan arviolta 50 000 per teleyritys.

IT-viikko kertoo kuitenkin, että:

Lehmuskallion [Turvallisuuspäällikkö, TeliaSonera] ja Vainion [Johtava lakimies, Elisa] mukaan operaattoreilla ei ole minkäänlaista jonoa. Myös Suomen tekijänoikeusjärjestöt kiistävät listanneensa valmiita ilmoituspyyntöjä.

En sitten tiedä mihin uskoa. Joka tapauksessa tällainen ilmoitusmenettely ei tuo oikeastaan mitään lisäarvoa kenellekään, ja oikeastaan ainoa näennäinen hyöty – tekijänoikeusjärjestöjen näkökulmasta – on se, että joitakuita tällaisella menettelyllä saadaan peloteltua.

Jos (ja kun) lakiesitys menee läpi ja astuu voimaan 2011, näitä lappuja voitaneen olettaa saapuvan runsain mitoin milloin mistäkin syystä. Vaikkakin esityksen mukaan ISP:lle aiheutuvat kustannukset maksaa tekijänoikeusjärjestö, lienee heidän intressiensä mukaista saada kansalaiset peloteltua ruotuun, vaikka se jonkin euron per lähetetty kirje maksaisikin.

Mielestäni kirjeillä ei voiteta mitään, varsinkaan kun niihin ei sisälly mitään lisätietoja, kuten sitä, mistä teoksesta on kyse, tai sitä, miten teosta on jaettu – tällä halutaan turvata yksityisyyttä. Toisaalta se ei anna yhteisötilaajille mitään mahdollisuuksia kohdentaa sisäisesti ilmoituksia tietylle taholle. Esityksessa mainitaankin:

Myös vanhemmat saisivat tiedon, jos lapset tai nuoret jakavat suojattuja sisältöjä luvattomasti verkossa. Parhaassa tapauksessa ilmoitus voisi saada aikaan tietoverkoissa toimimisen pelisäännöistä tarpeellisen ajatustenvaihdon niiden kesken, jotka kyseistä liittymää käyttävät.

Halutaan siis laki, jonka tarkoitus on herättää perheen sisällä keskustelua? Mielestäni tällainen lakiteknisen kikkailun kautta vanhempien painostaminen lasten kasvattamiseen tiettyyn ajatusmaailmaan (”Piratismi on pahasta”) on vähintäänkin arveluttavaa.

Itseäni tällainen ongelma saattaa koskettaa sitten, kun itse kirjeen saan. Kuluttajaliittymääni käyttäen kehtaan nimittäin röyhkeästi tarjota erilaisia julkisia palveluita, kuten verkkosivuni. Jos saan kirjeen, jossa lukee ”Hyihyi, liittymästäsi waretetaan. T. TTVK”, en voi asialle oikeastaan mitään. Minulla ei ole resursseja – eikä kaikilta osin edes laillista oikeutta – valvoa kaikkea palvelinteni ja verkkolaitteistojeni kautta valuvaa liikennettä.

Jos kaikki tapahtuman tiedot jätetään kertomatta, ei itselleni jää mitään muuta vaihtoehtoa kuin jättää tällaiset kirjeet tyystin huomioimatta ja heittää kirjeet kuorineen paperinkeräykseen. Mielestäni tällaisessa kukaan ei voita mitään.

Huolestuttavaa on myös se, että kun tällainen ”Lex Nokia 2” saatetaan lakikirjoihin, on oikeastaan vain ajan kysymys, milloin Lex Nokia 3:sta aletaan valmistella. Siihen voitaisiin sitten jo alkaa viritellä three-strikes -politiikkaa, jossa tuomioistuin voitaisiin kokonaan siirtää syrjään ja antaa tekijänoikeusjärjestöille vapaat kädet tehdä mitä ikinä tahtovat. Itse en tällaista toivo.

Tietosuojavaltuutettu Reijo Aarnio ottaa mielestäni varsin asiallisesti kantaa esityksen ongelmiin YLE:n maanantaisessa A-studiossa. Sen sijaan toiminnanjohtaja Antti Kotilainen TTVK:sta tekee itsestään lähinnä pellen samassa yhteydessä.

Piraattipuolueen varapuheenjohtaja Ahto Apajalahti toteaa blogipostauksen lopuksi:

Pidän todennäköisenä, ettei vihreistä aiota ylipäänsä äänestyttää lakia. Se olisi hallituspuolueelta liian huonoa käytöstä vaalien alla. Vasemmistoliitto varmaankin äänestyttää lain. Veikkaukseni lopputuloksesta: laki hyväksytään äänin 130-20 (50 poissa). Kansalaisaktivismilla ei enää tässä vaiheessa ehditä lakiin vaikuttaa, mutta onhan sitä symboliikan vuoksi kannattavaa tehdä varsinkin näin vaalien alla. Ehkä mielenosoitus?

Valitettavan totta. Mediakin kiinnostui (sen vähän mitä nyt ylipäänsä kiinnostui) aiheesta aivan liian myöhään. Onneksi kevään eduskuntavaalit lähestyvät päivä päivältä. Kai tiiätte ketä äänestetään!

Päivitys 25.11.2010: Korjattu kirjoitusvirhe, kts. kommentit.
1) Jos mietit kenelle tuo IP kuuluu: ei kenellekään. Se on IANA:n tulevaisuuden laajennuksille varatussa blokissa.