13. huhtikuuta 2014

Tietoturva ja yksityisyydensuoja helpoksi paketiksi?

Tuli tässä mieleeni, kun erilaisia seurantamenetelmiä tiedän ja tajuan laajalti tietoturvasta, että voisin ehkä joskus ryhtyä puuhaamaan sellaisen jutun parissa, johon monilla olisi valtavasti tarvetta, mutta oma osaaminen puuttuu: Tietoturva ja yksityisyys tietokoneen, verkkoliikenteen ja viestinnän suhteen, "all-in-one" paketissa! Harva ylipäätään hallitsee kunnolla suojautumisensa ja tekee pahoja virheitä, joita taitavat viranomaisetkin voivat käyttää hyväkseen. Monet tietoturvapalvelut ovat yleensä monimutkaisia käyttää ja kokonaisuuden hallintä jää helposti puutteelliseksi, joten moni ei edes viitsi yrittää suojautua, vaan luovuttaa heti kättelyssä. Nyt, kun sananvapautta ja yksilönvapautta ylipäätään kiristetään koko ajan, Suomenkin muuttuessa entistä totalistaristisemmaksi valtioksi, tarve tämmöisille palveluille senkun kasvaa.

Ajattelin, että voisin esimerkiksi tehdä simppelin muistitikulta tai muistikortilta käynnistyvän paketin, vähän NinjaStik-systeemin tapaan. Olen tuota NinjaStikiä kokeillut ja perusjuttu on oikein hyvä ja riittää tavalliselle pulliaiselle enemmän kuin tarpeeksi, vaikka sen toteutus vähän tökkii eikä koko systeemi ole ihan viimeisen päälle hiottu. Minä voisin tehdä jokaisen muistitikun osittain käsityönä, jotta olisi varmaa, että se olisi viimeisen päälle mm. päivitetty ja salausavaimet olisivat siinä erit kuin muissa. Pakettiin kuuluisi luotettava, tietoturvallinen VPN-palvelu yhdistettynä Tor-verkon käyttöön, sähköpostipalvelu otettuna asiakkaan puolesta, salasanojen luonti- ja hallintaohjelmisto muita tarkoituksia varten, asiakkaalle luodut GPG-avaimet sun muut hommelit, eli, että koko paketti olisi täysin käyttövalmis heti asiakkaan käyttöä varten. Homman juoni olisi nimenomaan se, että se olisi viimeisen päälle hiottu, luotettava, täysin käyttövalmis kaikilta osiltaan ja kaikki toimisi suomeksi. Siis oikeasti totaalinen suoja helposti ja kätevästi.

Tietoturvaa voisi vielä hioa esimerkiksi ottamalla käyttöön Yubikeyn kaltaisen härvelin, joka lisäisi levynsalauksen vahvuutta omalla salasanallaan ja muilla keinoilla, sekä antaisi lisäsuojaa ns. rautapohjaisia keyloggereita vastaan. Älykortti olisi toki parempi, mutta se vaatisi yhteensopivan kortinlukijan jne. joita harvassa tietokoneessa on. Tuollaisessa härpäkkeessä olisi myös se hyvä puoli, että jos henkilö uhkaa joutua vaikkapa kiristyksen kohteeksi tai kidutettavaksi tms. niin hänen tarvitsee vain tuhota tuo härpäke niin kukaan, mukaan lukien hän itse, ei voisi mitenkään päästä ikinä käsiksi mihinkään hänen tietoihinsa vaikka hän miten haluaisikin. Se toisi tarvittavaa lisäturvaa monelle, kun turvallisuus ei olisi vain oman salasanan takana.

Tavalliset ihmiset tuskin tarvitsevat tämmöistä palvelua, heille riittää hyvin esimerkiksi NinjaStik ja sen tarjoama suoja tai perustietoturvaosaamisen hallitseminen. Sen sijaan esimerkiksi liikemiehet, sananvapaustaistelijat ja erilaiset vastarintaliikkeet varmasti tarvitsisivat. Nämä ovat sellaisia tahoja, joilla ei yleensä ole aikaa, intoa tai kykyä ryhtyä itse ratkomaan tietoturva- ja tietosuojaongelmiaan, mutta selkeä tarve niiden ratkaisemiseksi kuitenkin olisi. Koska palvelu tehtäisiin käsityönä, hintakin olisi tietysti vähän tyyriimpi, mutta voisihan tuosta tehdä perussetin joka olisi halvempikin eikä sisältäisi kuin sen muistitikun jne. tms.

Miltä kuulostaa, voisiko tuossa olla pientä bisnesideaa? Viranomaisia tuollainen ainakin vituttaisi ihan mielipuolisesti, koska se takaisi miltei täyden tietoturvan heitä vastaan ihan kenelle tahansa, joka ei edes ymmärrä tietokoneista, netistä eikä tietoturvasta yhtään mitään. Toki jo pelkästään Suomen viranomaisille siitä aiheutuva huoli ja vitutus olisi enemmän kuin tarpeeksi hyvä syy tehdä tuollainen systeemi.



PS. Fobballe tiedoksi, että turha on ryhtyä mun kotitietokonettani, puhelintani tai muuta vastaavaa näpertämään, takavarikoimaan tai salakuuntelemaan tämän vuoksi. No, se voi toki tuottaa jo melkoisia ongelmiakin Gestapollenne, heh, mutta ei kannata haaskata verovaroja siihen puuhaan. Tuollaiset systeemit ja yhteydenpito niitä koskien tehtäisiin ihan toisilla härveleillä ihan toisissa ympäristöissä, ettekä te voi niille yhtään mitään (kuten hyvin itsekin tiedätte).

9. huhtikuuta 2014

Äärimmäisen vakava tietoturva-aukko nettiliikenteen salauksessa

Lyhyesti sanottuna, on löydetty haavoittuvuus, jonka vuoksi on mahdollista ja hyvin helppoa ottaa yhteys miltei mihin tahansa salattuja yhteyksiä (https käyttävät nettisivut, monet vpn-systeemit jne.) käyttäviin palvelimiin ja urkkia kaikki kyseisen palvelimen salausavaimet. Palvelin vuotaa nämä tiedot muististaan hyökkääjälle. Eikä hyökkäystä edes huomaa. Haavoittuvina ovat näiden systeemien uusimmat versiot (poislukien tietysti juuri julkaistu korjausversio), joita on käytetty viimeiset kaksi vuotta.

Tarkemmin asiasta voit lukea täältä tai Ficoran antamasta varoituksesta ja ohjeesta.

Voitte vapaasti pitää minua paranoidisena salaliittoteoreetikkona, mutta tämä haavoittuvuus haiskahtaa melko täydelliseltä takaportilta, jonka joku tiedustelupalvelu, luultavasti juurikin NSA, on ujuttanut OpenSSL-kirjastoihin. Tämä haavoittuvuus avaa netissä yleisemmin käytetyn salauksen kuin leka avaa säilykepurkin, eikä siitä murrosta jää mitään jälkeäkään mihinkään. Parempaa takaporttia ei oikeastaan voisi olla kuin tämä nyt paljastunut. Salausta ei tarvitse murtaa, kun sen voi "kiertää" tämmöistä haavoittuvuutta käyttäen.

Koska tämä haavoittuvuus paljastaa palvelinten yksityiset avaimet, yleisesti ottaen kaikki palvelimille otetut yhteydet on mahdollista jälkikäteenkin purkaa selkokielisiksi. Toisin sanoen, jos joku on tallentanut verkkoliikennettäsi vaikkapa tiettyyn sähköpostipalveluntarjoajaan, hän voi nyt, tällä haavoittuvuudella, varastaa ko. palveluntarjoalta salausavaimet ja purkaa aikaisemmin käymäsi viestinnän, mukaanlukien lähettämäsi sähköpostit ja kirjoittamasi salasanat. Ongelmana on, että käytännössä juuri mitkään palvelimet ja systeemit eivät käytä ns. Perfect Forward Secrecy (PFS), vaikka sen käyttö olisi mahdollista ja ehkäisisi juuri tämän tyyppiset jälkikäteen tehtävät hyökkäykset.

Nyt voimme vain toivoa, että eri palvelimien ylläpitäjät päivittävät nopeasti omat OpenSSL-systeeminsä uusimpaan versioon, sekä ottavat jatkossa PFS:n käyttöön oletuksena. Toivoa sopii, että samalla palvelinten ylläpitäjät heittäisivät jo pikkuhiljaa roskiin vanhat systeemit kuten SSL2, SSL3, TLS 1.0 ja TLS 1.1 protokollat, DSA- RSA- ja  RC4 salauksen sekä MD5 ja SHA-1 tiivistefunktiot ja käyttäisivät vain uusimpia ja vahvimpia salaussysteemeitä, juurikin PFS:llä höystettynä!

Jahka tämä soppa joskus selvitetään ja nuo palvelinten ohjelmistot päivitetään (Koska? Mistä tiedämme onko jokin palvelin päivitetty vaiko ei?), alkaa toinen ongelmavyyhti. Meidän kaikkien pitää vaihtaa kaikkien verkkopalveluidemme salasanat uusiin, koska vanhat salasanat ovat saattaneet vuotaa jo aikapäiviä sitten tai voivat vuotaa parhaillaankin sivullisille. Onneksi salasanojen säilytystä, luomista ja vaihtamista voi helpottaa sopivilla ohjelmilla ja palveluilla, esimerkiksi Lastpassia käyttämällä.

En voi edelleenkää liiaksi korostaa viestinnän omaehtoisen, vahvan salauksen merkitystä. Esimerkiksi juuri sähköpostin osalta vaikkapa GPG:llä. Tällöin sähköpostisi säilyy turvattuna, vaikka sähköpostipalvelin hakkeroitaisiin tai vaikka sinne viranomaiset pääsisivät halutessaan muutenkin sisälle lukemaan viestejäsi.

8. huhtikuuta 2014

Niin siis mikä on kiihotusta ja mikä ei?!?


Okei, siis kelataanpas nyt tätä "kiihottaminen kansanryhmää vastaan" juttua hiukan. Suomalainen firma ja suomalaiset näyttelijät voivat tehdä ja esittää suomalaisella tv-kanavalla tämmöisenkin sketsin ilman, että he kiihottaisivat kansanryhmää vastaan...mutta MINÄ ilmeisesti syyllistyn kiihottamiseen kansanryhmää vastaan jo kirjoittamalla URL-osoitteenkin nettisivulle? (1, 2, 3)

http://www.nelonen.fi/ohjelmat/myllyrinne-company/1607316-nettiennakko-nyt-bailataan-arabialaisissa-kotibileissa

Pitää varmaan itsekin ryhtyä tekemään "sketsiä", jossa pommivyöhön ja kaapuun sonnustautunut Allah leikkisästi on harrastavinaan seksiä sian kanssa, samalla kun taustalla koiraksi sonnustautunut "koomikko", sattumalta nimeltään "Muhammed", räplää ja nuoleskelee jotain riisuttua lapsinukkea. Mitäs veikkaatte, pääseekö televisioon? Pääseeköhän edes Youtubeen? Entäs mitä veikkaatte, pääsenkö minä siitä hyvästä linnaan?

Siis mitä vittua. Oikeasti. MITÄ VITTUA? Ei helvetti Suomi on sairas maa. Oikeusvaltion irvikuva. Viranomaiset ovat täysiä mulkkuja. Aivan mielipuolista touhua ja ihmisten vainoamista. Nyt saatana mulla keittää ja pahasti! Oikeasti. Eivätkä lampaat näe tässäkään tietenkään mitään outoa tai väärää, koska viranomaiset, lait ja käytännöthän ovat aina oikein ja yksilö ja logiikka on aina väärässä.

Älkääkä edes viitsikö selittää, että enhän minä ole vielä saanut mitään tuomiota linkittämisestä: Fakta on tasan tarkkaan se, että kaikissa näissä "kiihottaminen kansanryhmää vastaan" jutuissa epäilty on jo syyllinen ja tuomittu ennen kuin poliisi on ehtinyt edes paperiakaan asiasta kirjoittaa.

6. huhtikuuta 2014

Valitukseni KKO:lle

Alla valitukseni (kuviksi riisuttuna) saamaani kiihotustuomioon. Valitus lähti juuri korkeimpaan oikeuteen sähköpostitse. Olen jättänyt tästä bloggauksestani pois vain nuo tuohon liittyvät pari liitesivua sekä poistanut omat yhteystietoni. Muuten kyseessä on täysin autenttinen valituskirjelmäni KKO:lle. Voitte halutessanne lukea sen myös täältä .pdf-tiedostona. Repikööt siitä. Juu, tuo ensimmäinen sivu on todellakin ensimmäinen sivu valituksessani. Imekööt siitä.

Valitukseni sisällöllä ei sinällään ole mitään merkitystä. Näissä jutuissa tuomio on annettu jo ennen kuin poliisi ehtii rikosilmoitustakaan täyttää. Mutta onhan sitä kiva aukoa päätään noille oikeusjärjestelmän irvikuville ja katsoa, miten ne kiemurtelevat kun koettavat pusertaa jotenkin uskottavia perusteluita päätöksilleen. Onpahan tämä tie katsottu sitten loppuun tältä osin, eikä kukaan voi valittaa, etten olisi ainakin yrittänyt. Perusteluni käräjäoikeuteen ja hovioikeuteen voitte myös lukea, jos kantani on jäänyt jotenkin epäselväksi tämän asian tiimoilta, samoin tunnelmani käräjäoikeuden istunnosta.






5. huhtikuuta 2014

Poliisi on nyt saanut 48 vastaavaa linkkauskiihotusta tutkittavakseen!

Alla lähettämäni sähköpostiviesti asiaa nyt tutkivalle poliisille Varsinais-Suomen poliisilaitoksella. Liiton mukaan kaikki 48 kuvaa, joissa linkkiäni oli eri ihmisten toimesta jaettu. Eiköhän se puhu riittävän hyvin puolestaan. Seurataan nyt, miten pitkälle mielipuolisuuden maailmaan poliisi on valmis tämän jutun viemään.


Sain Jarno Saariselta kuulla, että sinä olet se onnekas, jolla
on nyt sitten ropsahtanut esitutkinta tehtäväksi minun 
nettikirjoittelustani. Tällä kertaa siitä, että kirjoitin yhden
nettilinkin Facebookkiin. Nettilinkin antaminen kiihottavaan 
tekstiin on ilmeisesti Suomessa rikos ja rikoksestahan pitää 
aina seurata rangaistus, eikös vaan? No, jottei sinulta ihan
äkkiä lopu nämä tuikitärkeät tehtävät (eli ajatusrikollisten
vainoamiset), niin ajattelin hieman auttaa sinun hommaasi.

Koska oikeuslaitoshan suhtautuu kaikki tasapuolisesti ja mikäli
minun suorittamana nettilinkin jakaminen on esitutkinnan- ja 
mahdollisesti syytteen ja tuomion alainen asia, niin silloinhan
toki kaikkien muidenkin suorittama, vastaavan linkin 
vastaavanlainen jako on esitutkinnan- ja mahdollisesti syytteen
ja tuomion alainen asia, eikös vaan? Yhtään poikkeusta ei saa 
tehdä, eikä yhtään ihmistä kohdella eriarvoisesti, eli joko
kaikille esitutkinta, syytteet ja tuomiot - tai ei kenellekään
esitutkintaa, syytettä ja tuomiota, eikös vaan? Niin ikään on 
tärkeätä, että esitutkinta kohdennetaan TASAPUOLISESTI ja 
VÄLITTÖMÄSTI kaikkiin ko. teon suorittaneisiin, eikä vain 
esimerkiksi osaan heistä ikäänkuin "koemielessä". Eihän se ole 
poliisin oikeus valita, mitä juttuja tutkitaan ja milloin, vaan
kaikkia rikoksia on tutkittava, jotka poliisin tietoon tulevat 
- tasapuolisesti!

Liitteenä kuvankaappaukset kaikista muistakin ihmisistä, jotka
minun tietääkseni ovat ko. linkin jakaneet, yleensä sen jälkeen
kun tämä kohu minun linkin jakamisestani alkoi. Kuvat on otettu,
mikäli niiden metatiedoista ei se käy aina ilmi 31.3.2014 ja 
5.4.2014 välisenä aikana. "Nimetön 38" kuva on viimeinen joka on
otettu 31.3., "Nimetön39 - Nimetön44" on otettu 1.4.2014 ja loput
kuvat "Nimetön 45 - Nimetön 48" on otettu siis 5.4.2014. Tämä tieto
on sikäli tärkeä, että kaikissa kuvankaappauksissa ei näy 
suoranaisesti sitä päivää kuvankaappauksen ottohetkellä, jolloin
kuva on otettu.

Kuvista pitäisi käydä ilmi kuvan URL-osoite ja sitä kautta tekijä,
jonka moiseen hirveään rikokseen on syyllistynyt. Koska poliisilla
ei varmasti ole muuta tekemistä ja kiihottaminen kansanryhmää 
vastaan on rikoksensa sen verran "tuhti", että teillä pitäisi olla
oikeus jäljittää jokaisen noista postauksista tekijän ip-osoite ja
edelleen palveluntarjoajalta ip-osoitteen omistaja, niin puuhaa 
varmaan piisaa. Muistakaa, että kaikkia on kohdeltava ehdottoman
tasapuolisesti, eikä poikkeuksia saa tehdä. Oletan, että kohdistatte
jokaiseen näistä epäillyistää suurrikollisista saman tarmon ja innon,
jolla te juttua minua vastaan ajatte.

Toivon, että tuotte myös syyttäjän tietoon nämä 48 muuta 
ajatusrikollista ja heidän kytköksensä tähän juttuun. Ettei
syyttäjälle vain tule sellainen virheellinen käsitys, että vain minä
olisin ko. linkin jakanut ja vain minua pitäisi siitä syyttää.
Syyttäjänkin on, tasapuolisuuden nimissä kohdeltava kaikkia näitä 48
muuta tapausta aivan samalla tapaa ja samalla kiireellisyydellä kuin
minun tapaustani.

Jos on jotain kysyttävää, niin ottakaapa yhteyttä.