torstai 26. helmikuuta 2009

LEX Nokia ja Iso Veli

Minun toimintani ja kirjoitukseni on täysin julkista ja läpinäkyvää. Minulla ei ole salaisia suhteita eikä salaista tietoa, jonka tähden kokisin henkilökohtaisesti pelottavaksi, jos minua kytätään. Kyttääminen ei ala vasta nyt Lex Nokian avulla. Sitä on harjoitettu monipuolisesti jo kauan aikaa. Muistan hyvin, miten 2000-luvun alussa varatuomari George Paile piti aivan varmana tietoliikenteeni tarkkailua. Sain minä siitä vähän todisteitakin.

Suojelupoliisissa Kansainvälisen rikollisuuden tutkimusta johtanut Urmas Rinne oli haastateltavani kesäkuussa 2007. Suojelupoliisissa yksikön päällikkönä hänen vastuuna oli kansainvälisen terrorismin ja rikollisuuden torjunta. Rinne sai vuonna 1995 kunnian johtaa jopa kansainvälisen Interpolin monipäiväistä terrorismin torjunnan suurkokousta. Rinne tuli tunnetuksi Venäjän asiantuntijana erityisesti vuosina 1997 – 2001, kun hän toimi Pietarin Suomen pääkonsulaatissa poliisin yhdyshenkilönä ja erityisasiantuntijana rikostorjuntaan liittyvissä asioissa. Tein parikin lehtijuttua hänestä (esim. http://www.kauppatie.com/06-2007/2f.htm). Muistan seikkaperäisesti erään tapaamisen hänen toimistossaan. Mies pisti Nokian puhelimen pöydälle ja sanoi, että tätä puhelinta voidaan kuunnella aivan hyvin, olipa puhelin kiinni tai auki.

Minulle on itselleni yhdentekevää tarkkaillaanko Lex Nokian, jonkun muun lain tai laittomasti tietoliikennettäni. Jos ei ole salattavaa, ei ole salattavaa. Jos olisi salattavaa, en olisi niin tyhmä, että sähköpostilla lähettäisin mitään arvokasta salaista tietoa toiselle osapuolelle. Lex Nokia ei tuo turvaa yritysten tietoturvaan, paitsi ehkä hölmöjä tumpeloita vastaan, jotka eivät edes pystyisi mitään oikeaa suurta salaisuutta välittää tyhmyytensä vuoksi. Lex Nokia ei lisää tietoturvaa, mutta se on jälleen eräs esimerkki yksityisyyteen kohdistuvasta halveksunnasta, joka on jo suomalaisen virkamonarkian kansallinen tapa.

Vuonna 2001 kamppailin kovasti sen puolesta, että olisin voinut saada paikallistamistiedot omasta puhelinliittymästä omasta puhelinliittymästäni konstaapelin todistusta vastaan, mutta näitä tietoja en saanut. Monimutkaisen valituskierroksen jälkeen vasta syksyllä 2004 sain viestintävirastosta lausunnon, että olisin sittenkin periaatteessa voinut saada nuo tiedot. Siinä vaiheessa olin jo menettänyt neljä vuotta palkattomana yhteiskunnasta syrjäytettynä ihmisenä, mutta tiedot olivat kadonneet ja olin voittanut itse jutun muilla perusteilla. Yksityisen ihmisen oikeuksia ei ole suomalaisessa virkamonarkiassa puolustettu, mutta yksityisyys ei ole ollut tähänkään saakka esteenä virkamiesmonarkian kyttääjille. Tämä ei tarkoita pelkästään maahanmuuttajaperheiden kotien ulkopuolella kyttääviä poliiseja, jotka tarkkailevat liikennettä, vaan myös ICT-liikenteen valvontaa.


George Paile puhui suomalaisesta Iso Veljestä


Muistan hyvin, kun juttelin mm. syksyllä 2001 ja uudemman kerran syksyllä 2003 suomenvenäläisen varatuomari George Pailen kanssa tietoturvallisuudesta. Muistan hyvin hänen toimistonsa, itse asiassa neljässä eri osoitteessa olleet toimistot. Tuolla kertaa olimme lähellä Rautatieasemaa. Miehellä oli selvästikin laaja kokemus yhteiskuntamme luonteesta myös sellaisena kuin se näyttäytyy kulissien ja mainosjulisteiden takana. 60-luvulla hän ennätti toimia Sosialistisen opiskelijaliiton puheenjohtajana Ele Aleniuksen jälkeen ennen Kalevi Kivistöä. Paile ennätti nähdä kulissien takaista elämää myös silloin, kun oli töissä Suomessa ulkoministeriössä, eduskunnassa apulaissihteerinä ja jopa Johannes Virolaisen avustajana. Ajankohtaisessa Kakkosessa 19.3.1996 Paile ilmaisi kokemuksensa valossa harvinaisen selvästi: ”Korostaisin vielä, että Venäjä ei uhkaa millään tavalla Suomea. Ainoa uhka ja vaara Suomelle piilee siinä, että maan poliittisessa johdossa ei ole tällä hetkellä yhtään Venäjän tuntijaa, Suomen ulkoministeriössä ei myöskään ole yhtään Venäjän tuntijaa. Televisio ja valtalehdistö levittää usein hyvin virheellistä tietoa Venäjän oloista ja poliittisesta tilanteesta. Juuri tämä tietämättömyys voi olla vaaratekijä Suomelle.” http://yle.fi/a2/juttu.php?tunnus=1513.

Paile oli varsinaisesti vaimoni asianajaja, mutta hän avusti myös minua eräässä pienessä oikeusasiassa, jonka voittoa en koskaan edes kuvitellut. Hän pyysi minua töihin toimistoonsa, mutta en koskaan mennyt. Olin siinä vaiheessa liian sitoutunut töihini ja opintoihini Pietarissa. Joskus täytyy tehdä ikäviä valintoja: olin lupautunut konsulttimaisiin avustustehtäviin, palkattomaan työharjoitteluun, opintoihin ja työharjoittelun jälkeiseen työhön Pietarissa toisaalle. Sen tähden en voinut suostua pieneen palkalliseen työhön Pailen toimistossa, vaikka olisin voinut saada oppia oikeustieteen opintoja varten. En aina laskelmoi rahallisen edun nimissä ratkaisuja, vaan pidän uskollisuutta lupauksille tärkeänä.

Paile sanoi ilman pientä epäilyä, että häntä yritetään kytätä, mutta myös sen, että minun puhelin- ja nettiyhteyteni olisivat poliisin tarkkailussa, vaikka ”poliisi ei koskaan sellaista ilmoitusta olisi mihinkään antanut”. Myös hänen poikansa Andrei oli joskus juttusilla, mutta poika on vähemmän karismaattinen ja äänekäs kuin isänsä. Pailen mukaan kyttäämiseen ei tarvita muuta syytä kuin tavanomainen suomalainen luulosairas viranomaistoiminta ja mahdottoman huono tietämys Venäjästä: kansallinen kulttuuri on pelätä Venäjää, vaikka Venäjässä ei olisi mitään pelättävää.
Pailesta on varmasti hyviä ja huonoa muistoja, toiset tykkäävät ja toiset vihaavat. Minäkin kärsin pienen taloudellisen tappion, kun hän pakeni suomalaista syyttäjää. Itse asiassa Paile pakeni julkisuudelta heti meikäläisen oikeustapauksen jälkeen vuonna 2004. Siksi asiat jäivät hiukan kesken hänen kanssaan. Ajattelin erään asianajajan kanssa periä pientä saatavaa, mutta sitten sain neuvon, ettei kannata, sillä oikeusvoitosta huolimatta en saisi perittyä muutamaa tuhatta euroa. Enää en ole vihainen, koska ymmärrän tilanteen. Paile oli vihattu Suomessa erityisesti sen takia, että hän oli Vladimir Zhirinovskin hyvä ystävä. Juttelin myös Vladimiristä eikä Pailen mukaan Suomessa saatu kuva tehnyt lainkaan oikeutta tunnetusta poliitikosta. En ole tavannut tätä poliitikkoa koskaan, mutta olen säännöllisesti lukenut puolueen nettisivuja ja venäläistä lehdistöä. Olen saanut paljon hillitymmän kuvan kuin mikä on suomalainen kauhukuva ”pelottavasta” poliitikosta! Väitettiin jopa, että Paile pakoili viimeiset vuotensa Suomen oikeuslaitosta Moskovassa mainitun ystävänsä hoivassa. Hän oli saanut syytteen kavalluksen avustamisesta. Erityisesti Seppo Lehto on retostellut tapansa mukaan jopa kaikkea tyhmää mainituista henkilöistä. Ehkä varatuomarin elämä ei vastannut elämäntavoiltaan kirkkoherran elämänmallia, en tunne hänen yksityisyyttänsä, mutta nämä mahdolliset erot eivät tee tyhjäksi hänen kokemustaan yhteiskuntamme kulissien takaisesta Isosta Veljestä.

ICT-turvallisuuden fantasia ja hysteria

Muistan, kun eräs entinen kirkollinen työtoverini oli kauhean huolissaan siitä, että häntä voidaan valvoa. Ihmettelin, miten muka tavallinen ihminen on kiinnostava, jos nyt tutkii joidenkin pietarilaisten hotellien hintoja ja kirkkojen sijaintia. Tähän nähden oli herkullista se pieni liioittelu, jota eräs ICT-opiskelija esitti joitakin vuosia sitten Helian ammattikorkeakoulussa tietoteknillinen selvityshanke (15 opintopistettä) –opintojaksossa. Hän kertoi, ettei hänen koneessaan ollut mitään virusturvaohjelmaa moneen vuoteen. Koko virusturvaohjelma oli aivan tarpeeton. Itse sanoisin pikemmin niin, että virusturvaohjelmalla ei ole mitään olennaista merkitystä tietoturvallisuuden kannalta, vaan se ehkä siistii jo joitakin saastuneita koneita, mutta ei estä varsinaista väkivaltaista tunkeutumista koneelle. Virusturvaohjelman merkitys on lähinnä henkinen ja liiketaloudellinen.

Ohjelmistojen päivitykset eivät ole suinkaan tae sille, että tietokoneesi kautta käytävä liikenne olisi parhaiden yksityisyyden toiveiden mukaista, jos sinulla on oikeasti jotakin salattavaa. Pikemmin päivitykset aiheuttavat muutoksia järjestelmän ja ohjelmistojen toimintaan. Jos tahtoisi olla tarkka yksityisluontoisten tietojen salaamisesta, pitäisi nämä päivitykset testata huolellisesti ennen käyttöönottoa kutakin konetta ja arkkitehtuuria varten. Virus- ja haittaohjelmien torjunta perustuu tunnistetietokantaan, mutta tämän tietokannan vauriot voivat olla kohtalokkaita, eivät edes vaikea toteuttaa.

Minä itse ajattelen, että en tarvitse mitään tietoliikenteeni erityistä – tavanomaisesta – poikkeavaa korkealaatuista salausta. En korosta virusturvan merkitystä muutoin kuin siinä merkityksessä, ettei nettiliikenteeni ylimääräisesti hidastuisi mainittujen haittojen tähden. Tällä hetkellä nettiliikenteeni toki takkuilee jonkin verran: on lähinnä radikaalisti hidastunut. Ajattelen niin, että Ison Veljen on taas kerran selvitettävä meikäläisen isänmaallinen kansalaiskunto. Tehköön työtänsä.

Hakkerit ovat minulle tuttu vaiva jo Venäjän opintojen ajoilta. Heidän vanha tapansa on pommittaa palvelimia tai laitteita suurilla sanomamäärillä, jotta ohjelmointivirheet lopulta mahdollistavat suojausten ohittamisen palvelun kaatuessa. Kun erään kerran tein haastattelun ja muun aineiston avulla juttua Panda Softwaren asiantuntijan kanssa ICT-turvallisuudesta, tällöin keskustelimme myös tästä mahdollisuudesta. Kaiken roskapostin tarkoitus ei ole suinkaan myydä vain ja ainoastaan erästä potenssilääkettä, jotta surkeuttaan kokeva mies innostuisi ja vastaisi näihin sähköpostimainoksiin elämänsä onnea toivoen. Myös SMTP-postipalvelinten puutteet konfiguroinnissa on helppo kohde hyökkääjälle. Sähköpostia saatetaan lähettää suoraan telnet-istunnosta uhrina toimivalle postipalvelimelle. Lähettäjäksi on väärennetty henkilö, jota ei ole olemassa, mutta jonka organisaatio on olemassa. Nykyään tämä on tehty jopa siten, että saan sähköpostia ”itseltäni” – nykyään jopa kymmeniä päivässä! Kun virheellisillä osoitetiedoilla varustettu sähköpostiviesti saapuu palvelimelle, se reitittää sen vastaanottajan postipalvelimelle. Postijärjestelmän toiminnan turvatakseen reititykseen osallistuvat palvelimet tallentavat vielä viestit kiintolevyilleen. Agressiivisessä hyökkäyksessä saattaa tallentua tuhansia viestejä tunnissa, mutta mukana on myös suuria liitetiedostoja, jotka täyttävät palvelimen levyt nopeasti. Seurakunnan puolesta virallinen sähköpostiosoitteeni onkin ollut jo kauan hyökkäysten kohteena.

ICT-turvallisuusongelmia on myös siinä, että mahdollisen hyökkääjän iloksi ei pitäisi jättää DNS:n UDP-porttia auki, mutta tällöin tarvittaisiin erilliset DNS-palvelimet sisä- ja etuvarusteverkkoihin. Proxy-palomuurit jättävät yhteyden auki, kunnes palvelua tarjoava palvelin sen sulkee. Sovellustason yhdyskäytävä olisi tehokkain palomuuri. Olen useamman kerran epäillyt, että eräs tietoturvahaaste liittyy käyttöoikeuden määritteleviin pääsylistoihin (Access List). Pääsylistojen konfigurointivajeet tarjoavat mahdollisuuksia hyökkäyksille. Demilitarisoidun vyöhykkeen heikkoa suojausta ei ole hakkerin vaikea hyödyntää asentamalla sovellutuksia, jotka hyökkäävät demilitarisoidun vyöhykkeen verkosta käsin muiden organisaatioiden verkkoja vastaan. Porttinumerot on helppo selvittää ja porttinumeroita voidaan jopa rajoittaa. Turhan monissa koneissa jopa UDP-kaiutuspalvelu antaa tunkeutumisreitin työasemaan, vaikka nämä pienpalvelut pitäisi ottaa tarpeettomana käytöstä. ICMP-liikenteen suodatusraja on ehkä määritelty kovin helpoksi hyökkääjän tarpeisiin. Reitittimien huolellisesta konfiguroinnista huolimatta jää edelleen mahdollisuus ainakin kymmenelle prosentille tunkeutumisyrityksiä.

Ettercap-ohjelman avulla voidaan kaapata kytkimen liikenne, kun väärennetään kytkimeen yhteydessä olevan työaseman ARP-taulut. Vakoiluohjelma ei kuitenkaan väärennä kytkimien MAC-osoitetaulua, on vakoiluohjelman estäminen erittäin vaikeaa. Myöskään salakirjoitusalgoritmit ja salausprotokollat eivät ole ammattilaiselle ylipääsemättömiä esteitä. Tavanomainen sähköpostiviesti tavallisen sähköpostiohjelman avulla on täysin suojaamaton ja siksi hyvin helposti salakuunneltavissa. Siihen nähden salausprotokollat tuovat apua, mutta eivät ne suojaa kyttäävältä Isolta Veljeltä.

Minä koen tällä hetkellä tilanteen jo turhauttavaksi. Kymmenen vuotta sitten olisin innokas ja etsin kaikkea aineistoa tietoturvallisuuteni hyväksi, kunnes tajusin, ettei minulla ole mitään salattavaa. Mitä vastaan minun pitäisi kätkeytyä? Täydellisen tietoturvan kustannukset olisivat kohtuuttomat. Kustannuksia ei tulisi vain rahallisesta menosta, vaan myös jatkuvasta huolesta ja tietojen päivittämisestä. Minulla ei jäisi mitään aikaa muuhun kuin opiskella informaatioteknologiaa, jotta KAPO:n ja vastaavien organisaatioiden meikäläistä paremmat IT-ihmiset eivät keksisi tapoja kytätä kansainvälisestä politiikasta kiinnostuneiden kansalaisten harrastuksia. Langattoman verkon suojaaminen olisi itse asiassa jopa erityisen haasteellista, minulle ihan mahdotonta. Mikä voisi olla strategia tässä tilanteessa? Minä koen ihan kiinnostavana, että kaapattujen kehysten eri tasojen protokollatietoja voi helposti seurata (esim. TCP Dump-ohjelmisto, Analyzer, Ethereal). Kun minulla itselläni ei ole mitään erityistä salattavaa, saan kuitenkin paljon tietoa Ison Veljen tavasta toimia. Oman tietokoneen ja sen liikenteen tietoturvaongelma pitää kääntää omaksi iloksi.

Tietoturvaongelmien kanssa ei kannata olla huolestunut, jos ei ole mitään salattavaa. Tietoturvaongelmien kanssa tehdään myös bisnestä, koska hysteerinen ihminen ostaa kaikkea turvansa hyväksi. Hän on niin kuin alle puolet suomalaista kansaa, joka Venäjä-hysteriassaan ostaa lääkkeeksi sielunsa sekavuuteen NATO-turvaa.

Minä olen päättänyt tällä viikolla, että en saata IT-alan opinnäytetyötä valmiiksi motivaatio-ongelmien tähden. Ylipäätänsä IT-alan opinnot eivät nyt kiinnosta. Haluan käyttää niukan vapaa-aikani toisenlaisiin tarkoituksiin.