perjantai 25. huhtikuuta 2008

Urkintalaki v. 2.5

Hallitus antoi eilen 24.4. uusitun version sähköisen viestinnän tietosuojalain muutosesityksestä, jota kansanomaisesti kutsutaan nimellä urkintalaki tai Lex Nokia.

Keskustelualueiden ja aamun lehtien kommenteista päätellen vastaanotto on yhtä tyrmäävä kuin pari vuotta sitten. Uudistuksen ensimmäinen versio tuli julkisuuteen elokuussa 2006, jolloin se herätti runsaasti keskustelua. Kohun seurauksena silloinen liikenne- ja viestintäministeri Huovinen pyysi oikeuskansleria ottamaan kantaa asiaan. Syyskuussa 2006 valmistunut lausunto kritisoi lakia ja se palautettiin uuteen valmisteluun.

Toinen versio lakiehdotuksesta julkistettiin viime vuoden kesäkuussa kommentointia ja lausuntoja varten. Niiden pohjalta on syntynyt jo kolmas versio lakimuutoksen tekstiksi.

Lain kiistanalaisin kohta liittyy yrityksen oikeuteen seurata sähköpostiviestinnän tunnistetietoja (ei siis itse viestejä) epäillyissä väärinkäyttötapauksissa. Keskustelupalstoilla lain on väitetty johtavan kyttäysyhteiskuntaan, antavan yrityksille poliisia laajemmat valtuudet, tuovan Kiinan ja Stasin toimintatavat yrityksiin sekä polkevan työntekijän perusoikeuksia. Huh, huh!

Syystä, jota en täysin ymmärrä, asia on erityisen herkkä Suomessa. Tietääkseni missään muussa maassa asiasta ei ole edes noussut julkista keskustelua, vaikka yrityksille on annettu Suomea laajemmat oikeudet. Kansainvälinen vertailu käy hyvin ilmi lakiehdotuksen perusteluista. Suomessa työntekijän oikeus yksityisyyteen on niin ehdoton, että se ajaa kaiken muun yli. Muissa maissa tunnustetaan sekä yrityksen että työntekijän oikeudet, joten kiistatilanteissa suoritetaan intressipunnintaa.

Yksityisyyden suoja tietoyhteiskunnassa on tärkeä asia. On kuitenkin erotettava, milloin on kyse työsuhteesta ja milloin kansalaisen yksityiselämästä. Työsuhteessa ihminen luopuu rajoitetusti joistakin perusoikeuksista palkkaa vastaan. Työnantajalla on esimerkiksi oikeus rajoittaa työntekijän vapaata liikkumista työaikana ja määrätä hänet oleskelemaan työpaikalla. Lisäksi yrityksen sähköposti on tarkoitettu työvälineeksi. Yksityistä viestintää varten jokainen voi hankkia oman osoitteen, johon työnantajalla tai valtiolla ei ole mitään asiaa.

Yritysten budjetit, liiketoimintasuunnitelmat, Excel-mallit, kytkentäkaaviot ja valtava määrä muuta tietoa liikkuu nykyään sähköpostissa. Tiedostoihin sitoutuu suuria taloudellisia arvoja, joiden suojaaminen on monelle korkean teknologian yritykselle elintärkeää.

Lakimuutoksen vastustajat vetoavat siihen, että olisi hölmöä lähettää tiedostoja ulos talosta sähköpostilla, kun ne voi yhtä hyvin tulostaa paperille tai kopioida usb-tikulle. Oleellista onkin se, että kaikesta muusta toiminnasta jää jälki, jota yritys saa laillisesti seurata ja teknisesti estää. Esimerkiksi tieto 100-sivuisen pdf-tiedoston tulostaminen yrityksen kirjoittimella tallentuu palvelimen lokiin, puhumattakaan pitkän tulostuksen aiheuttamasta riskistä. Excel-malleja ja monia binääritiedostoja ei edes voi tulostaa - ne toimivat vain tiedostoina.

Tiedostoja voi kopioida usb-tikuille, mutta niiden käyttö yrityksissä voidaan kieltää ja tietokoneiden portit suojata niin, ettei kopiointi edes onnistu. Erittäin kriittisissä paikoissa muistitikkujen tuonti ja vienti voidaan kieltää, ja talosta poistuvien taskut tarkistaa, mikäli on syytä epäillä väärinkäyttöä. Kaikki tämä laillisesti.

Vain yrityksen sähköposti on nykyisellään kaiken valvonnan ulkopuolella. Siksi se on kaikkein paras ja vaivattomin kanava tiedostojen vuotamiseen.

Nyt ehdotettu lakimuutos on muihin maihin verrattuna hyvin lievä. Tunnistetietojen seurannassa on monia rajoituksia ja esimerkiksi www-selaimella käytettävät postit jäisivät kokonaan lain ulkopuolelle. Voikin kysyä, ovatko lain sallimat uudet keinot kaiken kohun ja vaivan arvoisia.

Lisäksi eri maissa toimivat yritykset voivat ratkaista ongelman paljon helpommin ja tehokkaammin siirtämällä tuotekehitystä maihin, joissa laki turvaa työnantajan oikeudet paremmin.

keskiviikko 23. huhtikuuta 2008

Illaksi kotiin Finnairilla... vieläpä turbovauhdilla


Piti oikein hieraista silmiä lentäessäni toissayönä New Yorkista Helsinkiin Finnairin MD-11:llä. Matkustamon tv-ruudut kertoivat koneen maanopeudeksi peräti 1718 km/h. Se olisi lähes Concorden vauhtia.

MD-11-koneen normaali reittinopeus on noin 880 km/h ja maksiminopeus noin 930 km/h. Vaikka korkealla puhaltavat suihkuvirtaukset voivat antaa myötätuulta suurempiinkin nopeuksiin, näin hurja lukema oli selvästi virheellinen. Jos se olisi pitänyt paikkansa, runsaan 6600 kilometrin paluulento olisi sujunut neljässä tunnissa toteutuneen runsaan seitsemän sijaan. Illaksi - tai tässä tapauksessa aamuksi - kotiin, ja vieläpä todellista turbovauhtia.

Muut tiedot (lentokorkeus, lämpötila, saapumisaika, jäljellä oleva matka) näyttivät oikeilta. Pelkästä muuntovirheestä ei ollut kyse, sillä luku näkyi väärin (loogisesti oikein) myös maileja tunnissa -arvona.

Kyseinen koneyksilö oli OH-LGA. Lempinimen Olga saanut kone oli Finnairin ensimmäinen MD-11. Se otettiin käyttöön lähes 18 vuotta sitten. Olga on vanha, mutta hyvin huollettuna sillä on vielä lukuisia työvuosia edessään.

Ilmailuharrastajien (ja ammattilentäjienkin) FlightForumilla tiedettiin kertoa, että kyse on softabugista, joka on tunnettu jo vuosia. Jostain kumman syystä matkustamoon menevä nopeustieto on poskellaan, vaikka lentäjien laitteet saavat oikean tiedon. Ilmeisesti bugi vaivaa ainoastaan vanhinta konetta, eikä sitä saada korjattua.

Sinänsä kyse on pienestä asiasta. Harva yölennolla torkkunut huomasi koko asiaa. Silti on kiusallista, että hyvän ja turvallisen yhtiön maineessa oleva Finnair ei saa asiaa korjattua. Kun MD-11:t alkavat muutoinkin näyttää varustelultaan vanhanaikaisilta (muutama iso monitori katossa, ei puhettakaan istuinkohtaisista tv-näytöistä tai muista hienouksista), väärät tiedot eivät ainakaan kirkasta yhtiön kuvaa ulkomaisten matkustajien silmissä.

Uutisista päätellen Finnairin huollossa on viime aikoina ollut niin kiire, etteivät virheelliset nopeusmittarit voi olla prioriteettilistalla kovinkaan korkealla.

tiistai 22. huhtikuuta 2008

Sisäverkkoon pääsy jokamiehen oikeudeksi?

Pitäisikö kenen tahansa pääsy oman kodin sisäverkkoon sallia, ellei käyttäjä ole osannut estää sitä? Tätä vaativat ne, joiden mielestä vahingossa avoimeksi jääneen wlan-tukiaseman käyttö pitäisi sallia eräänlaisena modernina jokamiehenoikeutena.

Suojaamaton wlan-tukiasema päästää kenet tahansa ohikulkijan nettiin, mutta helposti unohtuu, että samalla ohikulkija pääsee myös sisäverkkoon, joka muutoin on suojattu (yleensä tukiasemassa olevan) palomuurin taakse. Ohikulkija pääsee juuri siihen, johon tunkeutuminen (jo pelkkä yrityskin) on kriminalisoitu tietomurto-käsitteen alle.

Haluaisitko sinä päästää satunnaiset ohikulkijat palomuurin läpi kotisi tietokoneille? Pitäisikö tällaisen pääsyn olla jokamiehenoikeus, jos kerran verkon omistaja ei ole osannut suojata verkkoaan?

Wlan-yhteys voidaan jakaa rajoitetusti niin, että sisäverkon koneet eivät paljastu. Tämä vaatii kuitenkin erityistä suunnittelua ja ohjelmia. Helpoiten se käy liittymällä johonkin wlan-yhteisöön, kuten Wippies, OpenSpark tai Fon.

Mistä sitten ohikulkija voi tietää, mitä avointa tukiasemaa saa käyttää ja mitä ei? Voitaneen olettaa, että tukiasemansa tarkoituksella avaava tietää, mitä tekee. Tällöin hän voi laittaa SSID-nimen perään vaikka sanan (open) kertomaan, että kyse on tietoisesta valinnasta eikä osaamattomuudesta tai unohduksesta. Analogia reaalimaailmaan on yksinkertainen: toisen taloon ei saa mennä, vaikka ovi olisi jäänyt lukitsematta. Jos taas oveen on kiinnitetty lappu, jossa ohikulkijat toivotetaan tervetulleiksi sisään, tilanne on ihan toinen.

Tämän päivän (22.4.) Helsingin Sanomien yleisönosastossa Henrik Elonheimo kääntää koko asian päälaelleen: mikä oikeus naapurilla on luvatta lähettää signaalia toisten koteihin?

Tähän kysymykseen on helppo vastata: oikeus tulee kansainvälisistä sopimuksista, joissa 2,4 GHz:n taajuusalue on varattu kaikkien vapaaseen käyttöön. Wlanin ohella samalla taajuudella lähettävät signaaliaan mm. mikroaaltouunit ja Bluetooth-laitteet. Kuriositeettina mainittakoon, että Ranskassa ko. taajuusalue oli aikoinaan varattu sotilaskäyttöön, joten sitä käyttäviä laitteita ei saanut tuoda maahan. Langattoman datasiirron yleistyessä Ranskan oli pakko antaa periksi.

Matkapuhelimet ja digi-tv käyttävät hieman eri taajuutta, mutta niiden toiminta perustuu kansallisten viranomaisten myöntämiin määräaikaisiin toimilupiin. Mahdollisia terveyshaittoja torjutaan rajoittamalla niin tukiasemien kuin puhelintenkin lähetystehoa.

Fysikaaliselta kannalta jopa näkyvä valo on sähkömagneettista säteilyä, sen taajuus vain on wlania korkeampi. Tällä periaatteella voisi siis kysyä, mikä oikeus naapurilla on käyskennellä omalla pihallaan ilman minun antamaa lupaa, koska niin tehdessään hän lähettää sähkömagneettista säteilyä minunkin puolelleni.

maanantai 21. huhtikuuta 2008

Pitäisikö avointen WLAN-verkkojen käyttö sallia?

Oikeuden päätös tuomita naapurin WLAN-verkkoa luvatta käyttäneelle päiväsakkoja on herättänyt keskustelua. Kriitikkojen mukaan avoimet verkot kuuluvat kansalaisten tietoyhteiskuntaan ja jos laki kieltää niiden käytön, lakia on muutettava.

Asia ei ole ihan niin yksinkertainen. Rikoslaki kieltää toisen omaisuuden käytön ilman lupaa, vaikka käyttö ei haittaisikaan omistajaa, ja vaikka omaisuutta ei olisi suojattu esimerkiksi lukitsemalla. Ei toisen asuntoonkaan saa mennä asukkaiden poissaollessa, vaikka ovi olisikin jäänyt lukitsematta.

Olen kartoittanut kolmen vuoden aikana avointen WLAN-verkkojen määrää eri kaupungeissa. Vajaa kolmasosa verkoista näyttäisi olevan avoimia. On mahdoton tietää, kuinka moni verkoista on auki tarkoituksella ja kuinka moni siksi, ettei omistaja ole osannut lukita niitä. Luultavasti valtaosa on jälkimmäisiä. Jos tarkoituksella haluaa jakaa verkkonsa ohikulkijoille, asia kannattaa tehdä selväksi verkon SSID-tunnuksessa.

Kriitikkojen mukaan on oma vika, ellei ole suojannut tukiasemaansa. Ja jos ei osaa sitä tehdä, on syytä olla ilman verkkoa. Tällainen oma vika -asenne näyttää valitettavan yleiseltä nykypäivän maailmassa. Moni kotikäyttäjä ei todellakaan osaa kytkeä salausta päälle, eikä se aina ole helppoa asiantuntijallekaan. Käytin itse eräänä iltana pari tuntia kaverin kotona yrittäen salata hänen tukiasemaansa. Salaus kyllä löytyi, mutta mikään salausalgoritmin ja avainpituuden yhdistelmä ei ollut yhteensopiva hänen kannettavan tietokoneen verkkokortin kanssa. Lopputulos oli, että parin tunnin turhan työn jälkeen jouduin palauttamaan verkon takaisin suojaamattomaksi.

Niin ikään kriitikot väittävät, että nykyisen lain mukaan kuka tahansa voi syyllistyä huomaamattaan rikokseen, jos oma tietokone ottaa vahingossa yhteyden naapurin avoimeen tukiasemaan. Tämä ei pidä paikkaansa. Salon käräjäoikeus ei antanut sakkoja pelkästä naapurin tukiaseman käytöstä vaan siitä, että tekijä oli IT-asiantuntija, joka yritti peittää epäillyn tietomurron jälkiä naapurin verkkoa käyttämällä.

Yhdysvalloissa ja Englannissa luvattomaan tukiaseman käyttöön on suhtauduttu Suomea tiukemmin, joten kyse ei ole Suomen lain erityispiirteistä. Tahattomasti avoimeksi jäänyt tukiasema altistaa omistajan (ja myös vierailevan käyttäjän) tietoturvauhkille, koska tukiasema on osa sisäverkkoa eikä palomuuri suojaa sitä.

Avoimista tukiasemista on suurta hyötyä käyttäjille. Itsekin tunnustan käyttäneeni joskus matkoilla avointa tukiasemaa, kun maksullista ei ole ollut saatavilla tai se on esimerkiksi hotellissa kuulunut huonommin kuin viereisen asuintalon avoin asema. Olisikin tarpeen saada lisää tarkoituksella avoimia asemia. Lisäksi 3G-operaattorien pitäisi laskea datakäytön roaming-maksuja järkevälle tasolle, jotta langaton nettiyhteys onnistuisi järkevällä hinnalla.

En kuitenkaan lähtisi muuttamaan lakia niin, että toisen omaisuuden käyttö tulee sallituksi, ellei omistaja ole osannut tai huomannut lukita sitä.

tiistai 8. huhtikuuta 2008

Ylireagointia tietoturvan haavoittuvuuksista?

It-alan mediat julkaisivat eilen uutisen, jollaisia olemme tottuneet kuulemaan liki päivittäin: ohjelmasta XYZ on löytynyt haavoittuvuus, jonka vuoksi käyttäjien tulisi päivittää uuteen versioon. Jopa Viestintäviraston CERT-FI julkaisi tiedotteen asiasta.

Kyseinen ohjelma oli Winshark, jota käytetään verkkoliikenteen seurantaan ja analysointiin. Sillä voidaan tutkia esimerkiksi ip-pakettien sisältöä ja kaapata tietyn protokollan mukaista liikennettä - vaikkapa sähköpostin salasanoja. It-ammattilaisten ohella Winshark on suosittu hakkerien keskuudessa, sillä se poimii näppärästi kiinnostavat paketit vaikkapa suojaamattoman wlan-tukiaseman liikenteestä.

Entä se "haavoittuvuus"? Kyse oli siitä, että tietyllä tavalla väärin muodostetut ip-paketit voivat kaataa ohjelman. Wau.

Ennen ohjelman kaatumiseen johtavia tilanteita kutsuttiin bugeiksi. Nyt niistä on tullut haavoittuvuuksia, joista pitää tiedottaa. Se, että joku manipuloi keinotekoisesti ip-paketteja ja kaataa niillä mahdollisesti verkkoa salakuuntelevan hakkerin ohjelman, ei kuulosta kovin vaaralliselta. Tuskin edes tiedottamisen arvoiselta.

Tietoturvavaroituksista on tullut päivittäistä liturgiaa, jotka uutisoidaan tavan vuoksi. Haavoittuvuuksien metsästäminen ja niistä raportointi on eräänlaista urheilua, jolla on vain vähän tekemistä tietoturvan kanssa. Lisäksi jatkuvat varoitukset luovat pelon ilmapiiriä, johon turtuneina käyttäjät eivät jaksa enää reagoida aidosti tärkeisiin uutisiin. Media on niin tottunut tietoturvan huonoihin uutisiin, ettei se muista aina olla kriittinen, eikä varsinkaan muista kertoa tietoturvan hyvistä uutisista. Niitäkin nimittäin on.

Alkuperäinen tiedote tästä "haavoittuvuudesta" löytyy ohjelman omalta kotisivulta.

maanantai 7. huhtikuuta 2008

Digikuvat voivat tuhoutua muutamassa vuodessa?

Niin, onhan se aina mahdollista - voi tulla tulipalo, vesivahinko tai rosvo, joka vie kaiken irtaimen mennessään. Silloin on ihan sama, onko kyse vanhanaikaisista paperikuvista vai dvd-levyille poltetuista digikuvista.

Otsikko pisti silmään, sillä olin juuri viikonloppuna puhumassa Kuva 2008 -messuilla digikuvien arkistoinnista ja säilyvyydestä. Kuluttajia on tapana pelotella, etteivät digikameralla otetut kuvat säily jälkipolville, koska levyt saattavat syöpyä itsestään rikki jopa muutamassa vuodessa. Toinen pelottelun aihe on se, ettei cd-levyjä pystytä lukemaan muutaman vuoden päästä, koska toimivia cd-lukuasemia ei enää ole saatavilla.

Onneksi tilanne ei ole näin huono. Ei ollenkaan.

Taloussanomien siteeraaman Suomen Kansallisarkiston kehittämispäällikön István Kecskemétin mukaan cd-levyjen kestoiäksi on tutkimuksissa saatu 3-320 vuotta. Tekniikka on kuitenkin vielä nuorta, eikä siitä ole ehtinyt kertyä todellista kokemusta. Luvatut säilyvyysluvut ovat ennusteita, jotka on saatu tulokseksi vanhentamalla levyjä keinotekoisesti lämpimissä ja kosteissa olosuhteissa, ja ekstrapoloimalla näin saatuja tuloksia takaisin huonelämpötilaan.

Omat kokemukseni osoittavat pikemminkin, että poltetut cd- ja dvd-levyt säilyvät yllättävän hyvin huonoissakin olosuhteissa. Tekemällä kriittisestä datasta useampia kopioita ja säilyttämällä niitä eri paikoissa tiedot saadaan säilymään jälkipolville. Ei täydellisesti, mutta eiväthän kaikki paperikuvatkaan säilyneet.

Entä sitten levyasemat ja tiedostoformaatit? Pystytäänkö cd-levyjä lukemaan vielä 50 vuoden päästä? Löytyykö mistään toimivaa cd-asemaa? Uskon, että löytyy hyvinkin. Cd-tekniikka on levinnyt niin laajaan käyttöön, että se voi itse asiassa olla varmin keino datan pitkäaikaiseen säilyttämiseen.

Cd-levyn jälkeen ehti jo tulla dvd-levy, mutta dvd-asemat ovat alaspäin yhteensopivia ja pystyvät lukemaan myös vanhempia cd-levyjä. Parhaillaan dvd-tekniikka on hitaasti antamassa tilaa Blu-ray-levyille, mutta ne ovat puolestaan yhteensopivia niin cd- kuin dvd-levyjenkin kanssa. Ei siis huolta: jotta uusi tallennustekniikka voisi menestyä, sen täytyy säilyä alaspäin yhteensopivana edeltäjiensä kanssa.

Ainoa uhka on siinä, että isokokoiset 12 senttimetrin levyt halutaan korvata pienemmillä levyillä. Yhteensopivuus katoaisi fyysisen koon muuttuessa. Sekään ei tunnu kovin todennäköiseltä, sillä halu kasvattaa tallennuskapasiteettia on suurempi kuin halu pienentää fyysistä kokoa. Cd:n mitta tuli aikoinaan valittua juuri sopivaksi (kiitos, Herbert von Karajan!). Levy mahtuu taskuun, mutta on silti riittävän iso, jotta sille mahtuu kokonainen elokuva yhä korkeammiksi nousevilla laatuvaatimuksilla.

Entä tiedostoformaatit? Pystytäänkö jpeg-pakkausta avaamaan vielä 100 vuoden päästä? Aivan varmasti. Kysehän on vain algoritmista, joka voidaan toteuttaa millä tahansa tietoteknisellä alustalla.

torstai 3. huhtikuuta 2008

Taksilla Helsingistä Jyväskylään

Taksinkuljettaja kertoi eilisestä työpäivästään: aamupäivällä ajo Helsingistä Jyväskylään ja iltapäivällä takaisin, yhteensä lähes 800 kilometriä. Eikä kyyditettävistäkään ollut vaivaa, sillä he matkustivat tavaratilassa.

Kyyditettävinä oli kaksi venttiiliä, joita tarvittiin pikaisesti Jyväskylässä. Kun kallis kone (ja sen mukana ehkä koko tuotantolinja) seisoo, jokainen tunti on arvokas. Siksi varaosat kannattaa lähettää vaikka taksilla.

Edestakaisen matkan hinnaksi tuli 400 euroa, mikä ei kuulostanut edes paljolta, sillä Finnair myy edestakaista lentoa Jyväskylään 217 eurolla. Kun siihen lisää taksihinnat molemmissa päissä, ero on yllättävän pieni. Lentomatka on tietty nopeampi, mutta sidottu Finnairin aikatauluihin.


Toinen juttu takseista: löytyisikö alalta sen verran yhteishenkeä, että nettiin saataisiin taksiportaali? Yritäpä löytää paikallisen taksin tilausnumero netistä - ei ole helppo tehtävä, varsinkaan jos on kiire. Ensimmäisenä mieleen tuleva osoite www.taksi.fi vie Turun tilataksikeskukseen. Ihan kiva, että ovat ehtineet varata parhaan osoitteen itselleen, mutta mahtaako siitä olla paljon iloa? Suurin osa sivulla kävijöistä tulee sinne tahattomasti eikä ilahdu löytämästään.

Paikallisia taksikeskuksia löytyy mm. osoitteilla www.vantaantaksi.fi, www.taksitampere.fi, www.taksilahti.com ja - yllätys, yllätys - www.lahitaksi.fi (Espoo). Saisiko ala luotua yhteisen sivuston, jonka kansisivulla olisi linkit eri kaupunkien paikallisiin tilausnumeroihin? Olisi mainio ja tarpeellinen palvelu kaikille taksin käyttäjille.

Entä milloin tulee mahdolliseksi tilata taksi www-sivulta? Tekstiviestitilaus onnistuu, mutta sekin vain Helsingissä (numero 13170).

Kalliista gps-järjestelmistä, kameravalvonnasta ja tilauskeskuksista huolimatta taksien asiakkaille näkyvä puoli toimii yhä 1970-luvun tapaan puhelintilausten kautta. Olisiko aika modernisoida tätäkin puolta?
Website Security Test