keskiviikko 16. huhtikuuta 2014

James Bond, aina yhtä suuri tv-suosikki

Bond-elokuvia alettiin näyttää Suomen televisiossa joskus 1980-luvun lopussa. Sitä ennen elokuvia näki vain teattereissa, joihin vanhatkin leffat saapuivat yhä uusille esityskerroille. Nyt niitä esitetään noin kolmen tai viiden vuoden välein (elokuvasta riippuen) yhä uudelleen ja uudelleen.

Onkohan Suomessa ketään aikuista, joka ei olisi nähnyt ainakin muutamaa Bondia? Silti tv-esitykset keräävät ällistyttävän paljon katsojia. Tällä hetkellä Bondit pyörivät Nelosella lauantain primetime-aikaan klo 21 alkaen. Viikosta riippuen Bond-leffa on kanavan 2-7. katsotuin ohjelma.

Muutaman viimeksi nähdyn leffan katsojaluvut ovat Finnpanelin mukaan seuraavat (tuhansia):

Elä ja anna toisten kuolla 304 (839)
Kultainen ase 364 (885)
Rakastettuni 299 (884)
Kuuraketti 190 (653)
Erittäin salainen 354 (950)
Älä kieltäydy kahdesti 276 (795)
Kuoleman katse 277 (784)

Ensimmäinen luku on varsinainen katsojamäärä, suluissa ns. tavoittavuus (montako katsojaa katsoo ainakin jonkin aikaa).

Sarasvuon talk-show lopetettiin, kun sen katsojamäärä putosi sataan tuhanteen (= 1 Sv). Näistä elokuvista laskien Bondin suosio on ollut vähintään 1,9 ja korkeimmillaan jopa 3,6 Sv:tä. Kilpailu katsojista on tietysti erilaista lauantai-iltana verrattuna torstai-iltaan, mutta luulisi jokaisen kanavan esittävän parastaan juuri tuolloin.

Ylen Ykkösestä ei tosin ole kilpailijaksi, Morsen uusinnat 1980- ja 1990-luvuilta ovat nykykatsojan mielestä verkkaisia ja liiankin brittimäisiä. Lisäksi niiden kuvanlaatu on nykystandardien mukaan perin kehno. Morse ei yllä Yle 1:n top 20 -listalle, mutta toisaalta se loppuu 4,1 Sv:n kohdalle. Ylellä 20. katsotuin ohjelma sai lähes yhtä paljon katsojia kuin Nelosen katsotuin.

Miksi ihmiset katsovat samoja Bondeja yhä uudelleen? Sen täytyy kertoa elokuvien suosiosta. Hyvin tehtyä sisältöä katsoo uusintoinakin useaan kertaan. Kotimainen sisältö joutuu kilpailemaan tämän kanssa. Kanavalle on halvempaa näyttää vanhoja bondeja ja myydä niihin mainoksia kuin ostaa kotimaisia tuotantoja ja toivoa, että niistä tulee menestyksiä. Harvoista tulee. Mustat lesket on ilahduttava poikkeus, katsojia viime viikolla 5,0 Sv (tavoittavuus 7,2 Sv) ja kanavan katsotuimman ohjelman titteli.

Vaikka bondit ovat ties monennellako uusintakierroksella, niitä kelpaa nytkin katsella. Tarjolla on nimittäin ensi kertaa elokuvien teatteriversiot digitaalisesti restauroituina.

Edellisellä esityskerralla 2.5.2009 Kuoleman katse näytti tältä:

Bond 2011.
Viime lauantaina 12.4.2014 esitetty versio tältä:

Bond 2014.
Ero on tuntuva. Vielä suurempi ero on 90-luvun esityskertoihin, jolloin tarjolla oli leffojen kapeat 4:3 versiot. Niissä kaikki päähenkilön ympärillä oleva rajautui pois. Kamalaa.

Restauroinnin vaikutus näkyy hyvin vanhoissa 1960-luvun elokuvissa, kuten tässä helmikuussa esitetyssä Hänen majesteettinsa salaisessa palveluksessa:

Bond 2008 ja 2014.
Ehkä vuoden 2017 kierrokselle saamme jo HD-versiot ja monikanavaäänet?

perjantai 11. huhtikuuta 2014

Heartbleed, tietoturvan kohuviikon huipennus

NSA-kirjan valmistumisen jälkeen on taas enemmän aikaa bloggaamiselle.

Tämä viikko (7-13.4.2014) on ollut tietoturvan kohuviikko. Ensin kaiken huomion sai Windows XP:n tuen loppuminen ja siitä seuraavat tietoturvariskit. Samana päivänä (8.4.) tulivat julki tiedot suomalaisten ja Googlen löytämästä ns. Heartbleed-aukosta, jonka vaikutukset ovat moninkertaisesti suuremmat kuin vanhan XP:n riskit.

Heartbleed on mielenkiintoinen monellakin tavalla. Onnittelut oululaiselle Codenomiconille sen löytämisestä ja eritoten hyvästä viestinnästä. Heartbleedistä tuli it-historian ensimmäinen brändätty turva-aukko. Codenomiconin ansiosta bugi sai kuvaavan logon ja helposti muistettavan nimen. Suomalaiset ovat aina olleet hyviä tekniikasta, mutta nyt näköjään kansainvälinen viestintäkin on hallinnassa. Tämä on kerrassaan loistava juttu! Codenomicon toi monta näkyvää sulkaa Suomen tietoturvaosaamisen hattuun. Kansainvälinen tietoturvamaine on muutakin kuin urkintaa tai sen puutetta.

Bugi on ollut avoimessa koodissa kaksi vuotta kenenkään huomaamatta. Usko siihen, että avoin koodi olisi automaattisesti turvallista koska niin moni voi tarkistaa sen, osoittautui vääräksi. Itse asiassa NSA tai kuka tahansa voi lisätä kriittiseen koodiin tahallisia turva-aukkoja ja hyödyntää niitä pitkään, ennen kuin asia paljastuu.

OpenSSL-aukko olisi hyvin voinut olla NSA:n työtä. Ilmeisesti virheen tehnyt ohjelmoija on kuitenkin saksalainen, eikä hänellä ole NSA-yhteyksiä. Mutta kuka tietää, mitä kulissien takana oikeasti on tapahtunut?

Turva-aukot saavat paljon huomiota mediassa, ovathan ongelmat ja riskit aina uutisen arvoisia. Median mukaan kyseessä on nettihistorian suurin ja vakavin turva-aukko. Ihmisiä kehotetaan jälleen vaihtamaan salasanat Facebookiin, Twitteriin ja kaikkiin tärkeisiin palveluihin. Uutisoinnin pohjanoteeraus on tämä Voicen artikkeli, jossa aukkoa kutsutaan virukseksi. Sen sijaan hyvä artikkeli löytyy Washington Postista.

Heartbleed on siinä mielessä loistava turva-aukko, että kerrankin käyttäjän ei tarvitse päivittää mitään. Kaikki työ jää web-palveluiden ylläpidon vastuulle. Älypuhelimista tai työasemista Heartbleedin käyttö olisi erittäin vaikeaa.

Missään en ole nähnyt tarkkaa kuvausta siitä, miten Heartbleed-bugia oikeasti voi hyödyntää. Voi olla, että OpenSSL-kirjastoa käytetään 66 % nettipalveluista, mutta kyse on vasta teknisestä haavoittuvuudesta. Riski syntyy siitä, miten helppo Heartbleediä on hyödyntää ja miten vakavaa vahinkoa sillä voi saada aikaan.

Heartbleedin avulla palvelimen muistin sisältöä voidaan "lypsää" sitä sopivasti kysyvälle ohjelmalle. Tulokset ovat satunnaisia. Voi olla, että hyökkääjä saa pelkkää bittiroskaa. Toisaalta hän voi saada edellisten käyttäjien tunnuksia, salasanoja ja jopa palvelimen omat salausavaimet. Pahinta on, ettei tästä jää mitään merkkejä palvelimen lokiin. Ylläpidon on siis mahdotonta tietää, onko heiltä lypsetty salaista tietoa. Havainnollinen kuva asiasta on täällä, hyvä selitys suomeksi myös täällä.

Hyökkäyksen kohdistaminen tiettyyn käyttäjään on kuitenkin vaikeaa. Hyökkääjän pitäisi ensin saada uhri ottamaan yhteyttä omaan koneeseensa ja sen jälkeen jatkaa Man-in-the-middle-tekniikalla suojatulle palvelimelle. Ei kovin helppoa.

Lisäksi on mahdollista hyökätä OpenSSL:ää käyttäviä kuormanjakopalvelimia vastaan ja saada -- jälleen kerran satunnaisten -- ihmisten tunnuksia. Toisaalta kaikki OpenSSL:ää käyttävät ohjelmistot eivät hyödynnä kirjaston Heartbeat-ominaisuutta, joten niissä vaaraa ei ole.

Vaikka haavoittuvuus on vakava, sen hyödyntäminen on jossain määrin onnen kauppaa ja vaatii sen verran yritystä, että tuskin kukaan jaksaa nähdä vaivaa Facebookin tai Twitterin salasanojen vuoksi. Pankkipalvelut ovat sitten toinen juttu.

Pahinta, mitä hyökkääjä voi Heartbleedin avulla saada, on palvelimen oma SSL-avain. Sillä pystyisi avaamaan kaikki aiemmat (jos niiden salattu liikenne on kaapattu ja tallennettu) sekä tulevat SSL-salatut yhteydet. En pysty arvioimaan tämän riskin suuruutta, oletan sen aika pieneksi. Lisäksi PFS-tekniikkaa (Perfect Forward Secrecy) käyttävät avaintenvaihtoprotokollat ovat suojassa. Niitä käyttävät mm. Facebook ja Nordea palveluissaan.

Lisäys klo 18.15: SSL-avaimen vuotaminen saattaa olla jopa kokonaan mahdotonta.

Lisäys klo 23.30: Onpa muuten hassua, että kerrankin Microsoft ei liity mitenkään tietoturvariskiin. Itse asiassa juuri sen web-palvelimet ovat niitä turvallisia, ja asiakaspään käyttöjärjestelmällä ei ole merkitystä. (Oliko vain sattumaa, että Codenomicon julkisti haavoittuvuuden juuri XP:n tuen päättymispäivänä, kysyy tämä sivusto).

Ja ihan toinen juttu -- em. Vergen lukijapalautteista poimin seuraavan: "Look, I don’t want to say heartbleed is not dangerous and might have caused a lot of harms, we simply don’t know yet. The media did a lot of fear mongering and took it to the extreme. The final nails in the coffin was when my wife (a nurse) a non-technical person came home the other day hysterically about how everything was compromised and some news network advised people emptying out their accounts until everything was fixed to protect themselves. Needless to say, I was pretty upset about the whole thing and the damaged those folks caused. It took hours of convincing to stop her from going to the bank the next morning to do exactly that. What a mess."

Lisäys 12.4.14 klo 8: Iltalypsy kannattaa - suomalainen Ilkka Mattila oli toinen, joka osoitti salaisen avaimen hankkimisen mahdolliseksi: https://www.cloudflarechallenge.com/heartbleed Jälleen yksi sulka myös Suomen tietoturvaosaamisen hattuun. Hienoa!
Website Security Test