1. syyskuuta 2014

Miten lähettää viestejä ja/tai jakaa tiedostoja helposti, turvallisesti ja anonyymisti?

Netistä voi ladata jos jonkinmoista salausohjelmistoa ja netti on täynnä erilaisia tiedostojenjakopalveluita. Suurinosa niistä on ilmaisia. Mutta salausohjelmiston (GPG4win, Truecrypt, jne.) käyttäminen edellyttää yleensä ohjelmistojen asentamista tietokoneelle, salausavainten tai salasanojen jakamista, muistamista, turvallista säilyttämistä ja muuta monimutkaista. Tiedostojenjakopalvelut (Dropbox, Google Drive, Onedrive, jne.) puolestaan ovat epäluotettavia ja niissä ylläpitäjät (ja tiedustelupalvelut ja poliisi) voivat helposti päästä käsiksi jakamiisi tiedostoihin. Yhtälö kuulostaa vaikealta ratkaistavaksi. Onneksi siihen on olemassa pari helppoa palvelua, joita oikein käyttämällä ongelma ratkeaa.

Mega on ilmainen tiedostojenjakopalvelu, joka salaa (ja purkaa salauksen) sinne lataamasi tiedostot selaimessasi ennen kuin ne edes lähetetään heidän palvelimille. Mega ei missään vaiheessa saa tietoonsa salaukseen käytettyjä salausavaimia, koska niitä ei luoda eikä lähetetä milloinkaan Megan palvelimille. Vaikka mikä viranomainen kuinka haluaisi Megan luovuttavan ne heille, se ei vain yksinkertaisesti ole mahdollista. Mikäli olet asentanut selaimeesi vielä Megan lisäosan (Firefoxille ja/tai Chromelle), ei Megan palvelintenkaan takaportittaminen ja sitä kautta troijalaiskoodin syöttäminen selaimeesi heidän nettisivuiltaan auta mitään, koska lisäosa ei lataa mitään suoritettavaa koodia heidän palvelimeltaan.

Privnote on ilmainen viestipalvelu, joka sekin salaa (ja purkaa salauksen) selaimessasi. Privnotekaan ei missään vaiheessa saa tietoonsa salaukseen käytettyjä salausavaimia, koska niitä ei luoda eikä lähetetä milloinkaan heidän palvelimilleen. Privnote säilyttää salatun viestin palvelimillaan, kunnes se luetaan ensimmäisen kerran. Sen jälkeen viesti pyyhitään heidän palvelimeltaan pois. Viestin puolestaan pystyy lukemaan vain tietämällä siihen viittaavan osoitteen (jossa on sisäänrakennettuna salauksen purkamiseen tarvittava salausavain)...niin ja muista, että vain ja ainoastaan yhden kerran!

Miten näitä kahta palvelua sitten voi käyttää turvalliseen tiedostojen jakoon? Tässä rautalankaohje suomeksi. Se vaikuttaa pitkältä ja monimutkaiselta, mutta takaan, että kun käyt sen läpi kerran tai pari, niin opit sen jo ulkoa. Periaate on yksinkertainen ja äärimmäisen turvallinen. Mikäli se tuntuu silti liian vaikealta, niin katso kirjoitukseni lopusta yksinkertaisempi (ja vähemmän turvallinen, mutta silti luultavasti tarpeeksi turvallinen) tapa tehdä miltei sama asia.
  1. Perusta tili tänne https://mega.co.nz ja muista käyttää vahvaa salasanaa.
  2. Mene ja kirjaudu https://mega.co.nz ja lataa haluamasi tiedosto sinne ("Upload file").
  3. Klikkaa ko. tiedostoa ja valitse yläpalkista "Get link".
  4. Klikkaa "Include file key" nappia kerran, jotta saat vain linkin kyseiseen tiedostoon Megan palvelimilla ("File link") ja klikkaa sen jälkeen "Copy to clipboard".
  5. Mene https://privnote.com ja liitä (Ctrl+V) avautuvaan viestikenttään kyseinen "File link", esim. https://mega.co.nz/#!gYRH2ZBR ja halutessasi jotain muuta viestiä tms. kaverillesi. Sen jälkeen klikkaa "Create note".
  6. Kopioi ko. sivun antama linkki tähän Privnoten viestiin ja lähetä tavallisena sähköpostina/tekstiviestinä kaverillesi ja pyydä häntä ilmoittamaan (mieluiten soittamaan, koska ääntä on vaikea väärentää) sinulle, jos ja kun hän saa ko. linkin ja siinä olevan viestin (Privnotessa) auki.
  7. Mikäli kaverisi ilmoittaa, ettei saa ko. viestiä Privnotessa auki, viesti on jo tuhottu Privnoten palvelimilta tai kaverista ei kuulu mitään, SEIS! Joku salakuuntelee viestintääsi ja on napannut ko. linkin ja sen takana olevan viestin (Privnotessa) auki. Älä huoli, mitään ei ole menetetty kuitenkaan vielä. Salakuuntelija ei ole saanut Megaan laittamasi tiedostojen salausavainta ("File key") haltuunsa, joten ei voi mitenkään purkaa niitä selkokieliseksi (vaikka voikin teoriassa ehkä ladata ne sieltä itselleen). Sinun pitää aloittaa alusta, eli palata kohtaan 2. Huomaa, että sinun pitää luoda uusi hakemisto ja ladata tiedostot sinne uudelleen, jotta niille tulee uudet "File link" ja "File key":t.
  8. Mikäli kaverisi (mieluiten soittaa ja) ilmoittaa, että on saanut ko. viestin Privnotessa auki ja sen sisällön talteen, varmista, että hänen saama linkkinsä Privnoteen on todellakin se linkki, jonka sinä hänelle lähetit eikä mikään muu. Pyydä häntä toistamaan (mieluiten lukemaan ääneen), mikä se linkki Privnoten viestiin oli. Mikäli linkki Privnoten viestiin on oikea, siinä Privnoten viestissäkin ollut linkki Megan tiedostoon ("File link") on silloin automaattisesti oikea. Megassa tiedostoon viittaavaa linkkiä ("File link") tai salauksen purkuun viittaavaa "File key":tä ei pidä missään nimessä milloinkaan kertoa puhelimessa, sähköpostitse tai tekstiviestinä, koska se on salassa pidettävää tietoa! Mikäli linkki Privnoten viestiin, jonka kaverisi on saanut, on se sinun lähettämäsi eli oikea...
  9. ...mene takaisin https://mega.co.nz ja klikkaa taas ko. tiedostoa ja valitse yläpalkista "Get link".
  10. Klikkaa "Include file key" nappia kerran ja tämän jälkeen klikkaa "Copy keys", jotta saat vain tiedostojen purkuun tarvittavan salausavaimen eli "File key":n.
  11. Mene https://privnote.com ja liitä (Ctrl+V) avautuvaan viestikenttään kyseinen "File key", esim. 6MzEO5eonP90gnrJ_LK31e_7CCW4X2UPW8FBco2YgRM ja halutessasi jotain muuta viestiä tms. kaverillesi. Sen jälkeen klikkaa "Create note".
  12. Kopioi ko. sivun antama linkki tähän Privnoten viestiin ja lähetä tavallisena sähköpostina/tekstiviestinä kaverillesi ja pyydä häntä ilmoittamaan (mieluiten soittamaan, koska ääntä on vaikea väärentää) sinulle, jos ja kun hän saa ko. linkin ja siinä olevan viestin (Privnotessa) auki.
  13. Mikäli kaverisi ilmoittaa, ettei saa ko. viestiä Privnotessa auki, viesti on jo tuhottu Privnoten palvelimilta tai kaverista ei kuulu mitään, SEIS! Joku salakuuntelee viestintääsi ja on napannut ko. linkin ja sen takana olevan viestin (Privnotessa) auki. Älä huoli, mitään ei ole menetetty kuitenkaan vielä. Salakuuntelija ei saanut Megaan laittamasi tiedostojen linkkiä ("File link") haltuunsa, joten ei voi tietää, mitä tiedostoja hänen pitäisi Megasta ladata itselleen. Sinun pitää aloittaa alusta, eli palata kohtaan 2. Huomaa, että sinun pitää luoda uusi hakemisto ja ladata tiedostot sinne uudelleen, jotta niille tulee uudet "File link" ja "File key":t.
  14. Mikäli kaverisi (mieluiten soittaa ja) ilmoittaa, että on saanut ko. viestin Privnotessa auki ja sen sisällön talteen, varmista, että hänen saama linkkinsä Privnoteen on todellakin se linkki, jonka sinä hänelle lähetit eikä mikään muu. Pyydä häntä toistamaan (mieluiten lukemaan ääneen), mikä se linkki Privnoten viestiin oli. Mikäli linkki Privnoten viestiin on oikea, siinä Privnoten viestissäkin ollut salauksen purkuavain "File key" on silloin automaattisesti oikea. Megassa tiedostoon viittaavaa linkkiä ("File link") tai salauksen purkuun viittaavaa "File key":tä ei pidä missään nimessä milloinkaan kertoa puhelimessa, sähköpostitse tai tekstiviestinä, koska se on salassa pidettävää tietoa! Mikäli linkki Privnoten viestiin, jonka kaverisi on saanut, on se sinun lähettämäsi eli oikea...
  15. ...kaverisi tarvitsee nyt vain mennä "File link" mainittuun osoitteeseen, tässä tapauksessa siis https://mega.co.nz/#!gYRH2ZBR ja kirjoittaa salauksen purkuavain eli "File key", tässä tapauksessa siis 6MzEO5eonP90gnrJ_LK31e_7CCW4X2UPW8FBco2YgRM ja hän voi ladata tiedoston selkokielisenä tietokoneelleen.
  16. Privnoten kautta välitetyt ko. viestit ovat nyt tuhoutuneet eikä kukaan voi onkia niitä enää tietoonsa mitenkään mistään, joten jaettu linkki ja sen sisällön purkamiseen käytetty salausavain on nyt vaihdettu turvallisesti sinun ja kaverisi kesken.

Vaikuttaa varmasti monimutkaiselta, mutta edelleenkin, takaan, että opit tämän helposti kun kokeilet pari kertaa. Menetelmä on ns. idiootinvarma. Millään taholla ei ole mitään mahdollisuutta saada selville tällä tapaa jaetun tiedoston sisältöä salakuuntelemalla viestiliikennettäsi internetissä, saamiasi sähköposteja, tekstiviestejä tai puheluitasi.

Kannattaa kuitenkin muistaa, että jaettu tiedosto voidaan silti löytää kaverisi tai sinun tietokoneelta tai mahdollisesti selaimesi välimuistista...mikäli et ole asianmukaisesti salannut/pyyhkinyt niitä sieltä pois. Mikäli joku joskus saa selville ko. "File link" ja "File key" rimpsut, hän voi tietenkin myös ladata ko. tiedoston selkokielisenä Megasta tietokoneelleen...jos sitä ei ole vielä poistettu Megasta. Internet-palveluntarjoajan ja puhelinoperaattorisi lokeihin jää aina merkinnät siitä, että olet surffannut ko. nettisivuilla ko. aikaan ja olet puhunut puhelimessa kaverisi kanssa ko. aikaan...sama pätee tietysti kaveriisi. Näin ollen voi ainakin teoriassa olla mahdollista todistaa, että olette jakaneet viestejä ja saman tiedoston/tiedostot netin välityksellä keskenänne, vaikka ko. viestien ja tiedoston/tiedostojen sisällöstä ei voikaan tietää mitään. Megan ja Privnoten käyttö ei millään tapaa suojaa nettiliikenteen ja nettitoiminnan seuraamiselta, se suojaa vain ja ainoastaan välitettyjen viestien ja tiedostojen sisällöt.

Mikäli sinulla on tarvetta suojata myös nettiliikenteesi ja nettitoimintasi urkintaa vastaan, suosittelen hankkimaan esimerkiksi (maksullisen) IPredator-VPN/Anonyymipalvelun ja/tai käyttämään esimerkiksi (ilmaista) Tor Browser Bundlea netissä surffailuun ja vaikkapa tässä mainittujen viestien ja tiedostojen jakamiseen. Nämä toimivat kaikki melko hyvin yhdessä, joskaan en ainakaan itse onnistunut purkamaan Megaan ladatun tiedoston salausta Tor Browsersilla (sain virheilmoituksen väärästä "File key":stä).

Onko liian monimutkaista ja ehkä vähän liian paranoidin turvallista sinulle?

Helpompi ja luultavasti aivan riittävän turvallinen tapa jakaa tiedostoja kaverillesi on tehdä Megaan kansio, laittaa sinne haluamasi tiedostot, klikata ko. kansiota ja valita "sharing". Saat ruudullesi linkin, joka johtaa suoraan ko. kansioon ja sisältää salauksen purkuavaimen itsessään. Linkki on esimerkiksi https://mega.co.nz/#F!xZ5HiBia!6y-aZUpaAODiCnme4QSi0A tai vastaava. Kopioi linkki, laita se Privnoteen viestiin ja laita kaverille sähköpostitse linkki ko. viestiin Privnotessa. Kaveri pääsee käsiksi ko. kansioon ja sen tiedostoihin tuon Privnoten kautta saamansa linkin kautta. Voila!

Luonnollisesti voit käyttää Privnotea pelkästään lähettääksesi turvallisesti viestejä kaverillesi. Kirjoita viesti Privnoteen ja lähetä linkki siihen viestiisi kaverisi sähköpostiin. 99,9999% tapauksista se toimii, eikä kukaan ole käynyt nappaamassa linkkiä ja lukemassa viestiäsi ennen kuin kaverisi sen saa. Ja kun kaverisi saa sen, se katoaa Privnotesta ikuisiksi ajoiksi, eikä kukaan voi sitä sieltä palauttaa. Tässä on sekin hyvä puoli, että viestistä ei jää mitään kopiota mihinkään, joka voisi vaikka vuosien päästä "löytyä" jostain syystä jostakin. Mitään pitäviä todisteita viestistä ei voi edes luoda, koska kuvankaappauksissa olevan osoitteenkin voi helposti väärentää ja osoitteessahan ei enää ole mitään jälkeenpäin, joten sieltä ei voi käydä tarkistamassa mitä se on joskus sisältänyt.

Turvallista jakamista ja viestittelyä!

28. elokuuta 2014

Sodan uhka pahenee, mutta Suomi nukkuu

Suomen ilmatilaa on loukattu jo kolme kertaa viikon sisällä Venäjän toimesta. Samaan aikaan Venäjän panssarivaunut vyöryvät Ukrainaan ja Venäjän erikoisjoukot ovat alkaneet mellastamaan itä-Ukrainassa entistä avoimemmin. NATO puolestaan harjoittelee parhaillaan Suomessa ja Suomen NATO-yhteistyötä ollaan tuntuvasti tiivistämässä ensi viikolla! Myös Suomen ja Ruotsin sotilaallista yhteistyötä ollaan tiivistämässä. Yhdysvallat on lisäksi sijoittamassa panssarivaunuja Baltian maihin ja Norjaan. Baltian maat ovat myös halukkaita julistamaan Venäjä-mieliset "kansantasavallat" terroristijärjestöiksi. YK:n turvallisuusneuvosto on kokoontunut hätäkokoukseen Ukrainen kriisin vuoksi. Ainiin ja Helsingissä on "häiriöitä televisiolähetyksissä", sattumalta tietenkin juuri nyt.

"Does it ring a bell?"


Entä mitä Suomen Puolustusvoimat tekee? Ei mitään. Mitä puolustusvoimien uusi komentaja tekee? Ei mitään. Mitä presidentti Niinistö tekee? Ei mitään. Mitä puolustusministeri tekee? Ei mitään. Mitä eduskunta tekee? Ei mitään. Mitä kansa tekee? Shoppailee "Putin-juustoja" ja juo kaljaa.

Maanpuolustusalueiden komentajilla (ja vast.) on mahdollisuus määrätä omalla käskyllään alueella reserviläisiä palvelukseen, sekä tehostaa muutoinkin valmiutta, täysin ilman ylempien esimiesten tai poliitikkojen lupaa tai hyväksyntää. Puolustusvoimien komentajalla on mahdollisuus määrätä reserviläisiä palvelukseen ja kohottaa valmiustilaa, ilman poliitikkojen lupaa tai hyväksyntää. Presidentillä on mahdollisuus määrätä valmiustilan kohottamisesta, reserviläisten palvelukseen kutsumisesta ja vaikka poikkeustilalain käyttöönotosta ilman eduskunnan, hallituksen tai Puolustusvoimien lupaa tai hyväksyntää. Puolustusministerillä on mahdollisuus määrätä reserviläisten palvelukseen kutsumisesta tai valmiuden kohottamisesta, ilman minkään tahon lupaa tai hyväksyntää. Eduskunnalla on mahdollisuus tehdä puolestaan ihan mitä se vain haluaa, vaikka määrätä puolustustilalain säädökset käyttöön tai lisämäärärahoja Puolustusvoimille mm. kalustohankintoihin ja valmiuden nostosta aiheutuneisiin kustannuksiin.

Mutta kukaan ei tee mitään. Mikään taho Suomessa ei tee mitään. Ei, vaikka mikä tahansa näistä tahoista ja henkilöistä voisi aivan itsekseen, ilman kenenkään toisen lupaa tai kenenkään toisen kiellosta huolimatta, määrätä puolustusvalmiutta kohotettavaksi. Mutta ei niin ei. Mitään ei tehdä. Ei yhtään mitään.

Aivan kuten Baltian maat vuonna 1939. On täysin kiistämätön historiallinen tosiasia, että mikäli Suomi ei olisi Mannerheimin nimenomaisesta painostuksesta ja määräyksistä johtuen kohottanut valmiuttaan huomattavasti vuonna 1939, olisimme olleet aivan samassa tilassa kuin Baltian maat olivat vuonna 1940 ja sen jälkeen. Vain kohotettu valmius, puolustukseen ryhmitetyt joukot ja sotatalouden alkuunpaneminen pelasti Suomen Neuvostoliiton miehitykseltä. Suomessakin oli vuonna 1939 paljon poliitikkoja ja sotilaitakin, joiden mielestä valmiutta ei pidä kohottaa, koska se "provosoi Neuvostoliittoa", mutta onneksi täällä moiset soraäänet saatiin nujerrettua...Baltian maissa valmiutta ei kohotettu, jotta "ei provosoitaisi Neuvostoliittoa" ja seuraukset olivat sen mukaiset. Miehitys. Suomi on nyt samalla tiellä kuin Baltian maat olivat vuonna 1939. Täällä ei ole mitään opittu historiasta.

Suomen olisi pitänyt jo välittömästi Krimin tapahtumien johdosta nostaa valmiustasoaan "tehostetusta valmiudesta" "korotetun valmiuden" tasolle, eli kutsua nopeasti palvelukseen saatavaa kriittistä henkilöstä palvelukseen maanpuolustuskyvyn kohottamiseksi ja puolustustahdon osoittamiseksi. Venäjän armeijan nyt vyöryessä itä-Ukrainaan ja ilmatilanloukkausten lisääntyessä on minusta selvää, että valmiustasoa tulisi välittömästi kohottaa "suojajoukkovalmiuteen" saakka. Samalla määrärahoja tulisi pikaisesti nostaa ja tehdä ylimääräinen budjettierä kriittisten kalustohankintojen (kertasingot, olkapääohjukset, ilmataisteluohjukset, jne.) pikaiseksi toteuttamiseksi. Suomessa on satojatuhansia työttömiä ja etenkin nuorisotyöttömyys tuntuu olevan suurenakin päänvaivana, joten reserviläisten kutsuminen palvelukseen tuskin aiheuttaa mitään muutosta yhteiskunnan normaaliin toimintaan.

Suomella on, toisin kuin monella muulla maalla, hyvin tehdyt suunnitelmat kohotettua valmiutta ja sotatilaa varten. Lainsäädäntö mahdollistaa myös joustavan valmiuden kohottamisen. Taloudellinen tilanne ei ole paras mahdollinen, mutta kun meillä kerran on varaa jakaa miljardikaupalla rahaa etelä-Euroopan paskamaille, kehitysapuun sekä "kulttuuriamme rikastuttavien moniosaajien" elättämiseen, on vaikeaa perustella, etteikö sitä olisi laittaa myös maanpuolustukseemme. Puolustustahto on korkealla. Maanpuolustuskyky ei ole paras mahdollinen, mutta kaukana pahimmasta mahdollisesta ja maanpuolustuskyvyn puutteet liittyvät lähinnä kalustoon (jota on onneksi mahdollista hankkia vielä pikaisesti lisää).

Sotilaat ja poliitikot vain ovat täysin munattomia ja selkärangattomia, eivätkä anna mahdollisuutta puolustusvalmiuden ja puolustuskyvyn kohottamiseen. Kyseinen toiminta on minun silmissäni jo törkeän maanpetoksen tunnusmerkit täyttävää toimintaa. Vai mitä mieltä itse olette? Rikoslaki määrittelee maanpetoksen:
"Suomen kansalainen, joka Suomea koskevan sodan, aseellisen selkkauksen tai miehityksen aikana tai sellaisen välittömästi uhatessa...ryhtyy yhteistoimintaan vihollisen kanssa tai muulla vastaavalla tavalla vihollisen eduksi vahingoittaa Suomea...Maanpetoksen tekee törkeäksi se, että siinä aiheutetaan vaara valtakunnan tai sen osan joutumisesta vieraan vallan alaiseksi taikka muutoin aiheutetaan Suomelle erityisen suurta vahinkoa."

Myös esimerkiksi "Suomen itsemääräämisoikeuden vaarantaminen" saattaa rikosnimikkeenä tulla kysymykseen jo pelkästään parhaillaan menossa olevan sotilasliitto NATOn sotaharjoituksen ja tulevan NATO-yhteistyön laajentamisen vuoksi.

Toivon hartaasti, että joku tulee järkiinsä jossain ja puolustusvalmiutta ja puolustuskykyämme kohotetaan välittömästi ja tuntuvasti. Ei olisi myöskään pahitteeksi rakentaa Mannerheimin patsaan viereen hirttolava näitä maanpettureita varten, jotta kansantribunaalin tuomiot heille voidaan saattaa välittömästi täytäntöön. Samalla annettaisiin ulkomaita myöden asianmukaista signaalia siitä, mitä mieltä kansa on tämmöisestä kansankunnan turvallisuudella leikkimisestä.

10. elokuuta 2014

Miljardeja paskamaiden tukemiseen, vaikka maanpuolustus riutuu


Jälleen pistää vihaksi lukea uutisia. Suomi ottaa itse yhä lisää velkaa, jotta voimme tukea Euroopan paskavaltioita miltei 8 miljardilla eurolla. Samaan aikaan maanpuolustuksemme tilanne on heikko ja Euroopan yllä leijuvat 3. maailmansodan enteet.

Esimerkiksi yksi tukimaista, Kreikka, on itse varustautunut oikein huolella sotaan jo viimeiset 25 vuotta ja se onkin yksi syy Kreikan taloudelliseen ahdinkoon. Suomi ja suomalaiset siis tinkivät omasta puolustusvoimien kalustosta ja määrärahoista, jotta esimerkiksi Kreikka voi varustaa omaa armeijaansa kuten tähänkin asti on tehnyt. Eikö tämä ole jo maanpetoksellista toimintaa?

Mitä Suomen puolustusvoimille voisi hankkia tällä rahasummalla? Otan esimerkkiluettelon maavoimien ostoista, joita olisi syytä tehdä ja jotka voisi tuolla 8 miljardin summalla kaikki hankkia sen sijaan, että ne käytetään muiden EU-maiden tukemiseen:

      100 kpl Leopard 2A6 panssarivaunu, 800M€
      200 kpl CV9030 FIN rynnäkköpanssarivaunu, 600M€
      900 kpl AMV panssaroitu miehistönkuljetusvaunu + Protector M151 E2 torni, 900M€
      600 kpl Eurospike pst-ohjuksen laukaisulaite + useita ohjuksia, 300M€
      600 kpl Stinger it-ohjuksen laukaisulaite + useita ohjuksia, 600M€
        80 kpl ASRAD-R ilmatorjuntaohjusjärjestelmä, 840M€
  12000 kpl NLAW kertasinko/pst-ohjus, 360M€
120000 kpl M72 kertasinko, 100M€
120000 kpl Taistelijan varustus M05, 600M€
120000 kpl Pohjamiina, 120M€
500000 kpl Viuhkapanos, 120M€
        60 kpl HIMARS raketinheitin + monipuolinen ammusvalikoima, 1200M€
      180 kpl Patria Nemo kranaatinheitin + monipuolinen ammusvalikoima, 480M€

        90 kpl PzH2000 panssarikanuuna, 600M€
    1600 kpl M982 Excalibur tykistön täsmäammus, 75M€
    2400 kpl SMArt 155 tykistöammus pst-ammus, 300M€

Kuvaamillani hankinnoilla voitaisiin, olemassa oleva varustus huomioon ottaen, varustaa kaikki Suomen 3 valmiusprikaatia ja 2 mekanisoitua taisteluosastoa uusilla panssarivaunuilla (n. 40 kpl) ja uusilla rynnäkköpanssarivaunuilla (n. 60 kpl). Mekanisoidut taisteluosastot saisivat lisäksi miehistönkuljetukseen ja tiedustelukäyttöön olemassa olevat BMP-2 rynnäkköpanssarit ja MTLB-kuljetuspanssarit (n. 300 kpl), valmiusprikaatien saadessa miehistönkuljetukseen uudet AMV:t (n. 300 kpl). Jokainen valmiusprikaati ja mekanisoitu taisteluosasto saisi niin ikään 12 kpl (3 patteria) ASRAD-R ilmatorjuntaohjusjärjestelmiä, sekä kannettavat panssari- ja ilmatorjuntaohjukset komppaniatasolle. Kaikki nämä yhtymät olisivat myös varustettu huipputehokkaalla ja taistelunkestävällä tykistöllä (6 kpl HIMARS, 18 kpl PzH2000, 36 kpl Patria NEMO), johon olisi käytettävissä runsaasti ns. älyammuksia. Kaikille näiden yhtymien sotilaille saataisiin myös luotisuojaliivit, pimeänäkölaitteet ja kertasingot, sekä kosolti miinoja.

Tällä hetkellä näillä joukoilla ei ole moisia varusteita kuin nimellisesti, vaikka näiden joukkojen pitäisi nimenomaan olla sodanajan joukkojemme iskukykyisin ja parhaiten varustettu "nyrkki"! Materiaalia jäisi vielä näistä hankinnoista roppakaupalla ylimääräistäkin, annettavaksi esimerkiksi alueellisten taisteluosastojen tai paikallisjoukkojen käyttöön, joiden panssarintorjunnassa sekä lähi-ilmatorjunnassa on nykyään erittäin vakavia puutteita. Niin ikään nykyisin jo käytössä olevaa kalustoa, kuten vedettävää tykistöä ja panssaroituja miehistönkuljetusajoneuvoja vapautuisi alueellisten joukkojen ja paikallisjoukkojen käyttöön runsaasti. Lisäksi esimerkiksi vanhoja Leopard 2A4 panssarivaunuja voitaisiin käyttää koulutuskäytössä sekä lavetteina käyttöikänsä loppuun asti. Ilmatorjuntaa ja raketinheittimiä jäisi vielä lisäksi ylijohdon käyttöön enemmänkin kuin riittävästi.

Näillä hankinnoilla olisi siis merkittävää vaikutusta maavoimien taistelukykyyn. Nämä eivät ole mitään nappikauppoja, vaan olisivat huomattava parannus nykytilanteeseen. Tämän tyyppinen materiaalihankinta palvelisi suoraan kokonaismaanpuolustusta ja nimenomaan Suomen puolustusta maahyökkäystä vastaan. Tämä erotuksena kansainvälisen merirosvojahdin tai kriisinhallinta tai NATO-kiiman verrattuna, joihin nykyään rahat ja materiaalit tuhlataan. Esittämäni materiaali säilyisi käyttökelpoisena jopa kolmisenkymmentä vuotta.

Mutta ei siinä mitään, annetaan vaan mieluummin Kreikalle ja muille paskavaltioille rahaa, jotta Kreikka voi jatkaa ylisuuren armeijansa varustamista ja velkaantumista entiseen tapaan. Jyrki Katainen nauraa partaansa palkkioksi saadun kallispalkkaisen komissaarin paikalta ja muut maanpetturit yhtyvät naurukuoroon suomalaisten hyväuskoisuutta ihmetellen.

3. elokuuta 2014

On https ja sitten on https...

Olen suunnilleen vuoden välein kirjoittanut internetin tietoturvasta, liittyen erityisesti SSL/TLS salaukseen ja sen toteutukseen nettisivuilla. Yleensä siksi, että näissä on ollut ongelmia ja mokia, joita ei pitäisi yhdenkään selkopäisen tietoturvavastaavan tehdä. Kuten tapauksissa "Suomalaisissa nettipankeissa vakavia tietoturvaongelmia", "Nordean verkkopankin tietoturvaongelmat" ja "Viranomaiset eivät osaa tehdä turvallisia nettipalveluita". Positiivista oli, että sentään parannustakin saatiin aikaan jollakin sektorilla, kuten "Viranomaiset ovat parantaneet nettipalveluidensa turvallisuutta".

No nyt lienee taas aika palata samaan aihepiiriin. Apunani oli tällä kertaa Calomel SSL Validation, joka onkin erinomainen työkalu paitsi ko. salauksen vahvuuden selvittämiseen, niin myöskin ei-toivottujen paskasalausten helppoon estämiseen Firefox-selaimesta. Kyseisen apuvälineen käyttö kertoo yhdellä vilkaisulla (ikonin väri) salauksen tason missä tahansa käyttämässäsi nettipalvelussa ja sitä klikkaamalla saa helposti lisätietoja asiasta. Kyseisen apuvälineen käyttö nostaa ainakin minulla nopeasti verenpainetta, kun käy ilmi, että sivustojen ylläpitäjät ja tietoturvavastaavat viittaavat kintaalle vahvalle salaukselle ja tietoturvalle.

Esimerkiksi ja vertailun vuoksi vaikkapa Nordean nettipankki vs SSL Labsin nettisivut:


















Tämä on hyvin tyypillinen löytö, enkä jaksanut lähteä edes penkomaan muita nettipankkeja ja sivustoja vastaavien varalta. Mitä tuo kaikki sitten tarkoittaa Suomeksi? Avataan hieman käsitteitä:

Perferct Forward Secrecy (PFS) tarkoittaa yksinkertaisesti sitä, että vaikka palvelin vaarantuisi jonakin päivänä niin, että sen salausavaimet päätyisivät hakkerille, niin mikäli PFS on käytössä, tämä ei siltikään vaaranna aikaisemmin ko. palvelimelle tehtyjä yhteydenottoja eli niiden salausta. Ilman PFS:ää on mahdollista käyttää vaarantunutta salausavainta purkamaan kaikki palvelimen kanssa ikinä sillä käyty viestintä. PFS huolehtii käytössä ollessaan siitä, että jokainen yhteys palvelimelle (tarkemmin sanottuna "Key Exchange") muodostetaan "kertakäyttöisiä" epäsymmetrisiä salauksia käyttäen (DHE tai mieluiten ECDHE, "pitkäaikaisen" RSA: sijaan), jotka tuhotaan käytön jälkeen. Näin ollen niiden turvaama tieto pysyy salassa, vaikka palvelimen pääsalausavaimet joskus myöhemmin vaarantuisivatkin. Tämä on erinomainen ominaisuus, koska milloinkaan ei voi tietää, murtuuko jokin palvelin tai sen salausavain jälkikäteen. Tämän ominaisuuden käyttöönotto ei mitenkään ihmeemmin syö palvelimen resursseja tms. eli on aivan itsestään selvää, että se tulisi ehdottomasti ottaa käyttöön kaikissa https-yhteyksissä! Jostain syystä esimerkiksi Nordea ei kuitenkaan tee näin.

Ciphersuite kertoo salaussysteemipaketin, jota kyseinen nettisivusto käyttää. Salaussysteemipaketti on sarja tiettyjä valmiita ja tarkkaan määriteltyjä paketteja, joita myös selaimen asetuksista voi hienosäätää joko käyttöön tai käytöstä pois. Key Exchange kertoo, millä menetelmälllä "pääsalausavain" vaihdetaan tai luodaan palvelimen ja käyttäjän välillä. Signature kertoo puolestaan, mitä salausta palvelin käyttää todentamaan itsensä asiakkaalle digitaalisella allekirjoituksella. Bulk Cipher on se salausalgoritmi, jota siis käytetään tuolla "pääsalausavaimella" salaamaan suurinosa kaikesta tiedonsiirrosta asiakkaan koneelta palvelimelle saakka. MAC tarkoittaa kryptografista tiivistefunktiota, jolla varmistetaan viestien eheys (jottei viesti ole muuttunut matkan varrella) sekä yhdessä digitaalisen allekirjoituksen (signature) kanssa viestien todennus (että viestin on todella lähettänyt palvelin eikä joku muu).

RSA on vanhaa ja hidasta ja turvallisuudeltaan heikompaa (toki vielä aivan riittävää) käytettäväksi etenkin palvelimen tunnistamisessa, verrattuna elliptisten käyrien salaukseen (ECC), kuten ECDSA. Myös vanhempaa DSA:ta voidaan käyttää palvelimen tunnistamiseen, mutta se on sen verran heikkoa, että sen käytöstä on syytäkin ollut luopua pikkuhiljaa ECDSA:n eduksi. Avaintenvaihdossa (Key Exchange) RSA ei myöskään mahdollista PFS:ää, vaan PFS vaatii aina joko pelkän vanhamuotoisen DHE (Diffie-Hellman), tai uudemman ECDHE (elliptisten käyrien Diffie-Hellman) salauksen käytön kertakäyttöisen "pääsalausavaimen" siirtämiseksi turvallisesti käyttäjälle.  Pelkällä RSA:lla voidaan kuitenkin, laiskanmiehenversiossa, hoitaa sekä palvelimen tunnistautuminen että "pääsalausavaimen" vaihtaminen käyttäjän ja palvelimen välillä, siksipä ehkä sen käyttö siinä tarkoituksessa onkin (mm. Nordealla) houkuttelevaa. Tietoturvan kannalta se on kuitenkin todella huono ajatus. Tietoturvan kannalta luultavasti paras vaihtoehto olisi käyttää yhdistelmää ECDSA_ECDHE, joka on myös palvelinta huomattavasti vähemmän resursseja kuluttavaa, kuin vanha ja hidas RSA-salaus.

Mainitsemani "pääsalausavain" on siis salausavain, joka siis vaihdetaan/muodostetaan palvelimen ja käyttäjän välillä ja sillä salataan pääosa kaikesta tietovirrasta netin ylitse https-yhteyksissä. "Pääsalausavainta" sitten käytetään symmetrisellä salausalgoritmilla, kuten vaikkapa RC4, AES tai Camellia. RC4 on jonosalain, jonka turvallisuus lienee vähän niin ja näin (toki sitäkään ei ole "vielä murrettu", mutta väärin käytettynä ja sovellettuna se on hyvin riskialtis). AES ja etenkin sen SSL Labsissakin käytetty versio, AES_128_GCM_SHA256 puolestaan on hyvin turvallinen ja takaa myös osaltaan viestin eheyttä, eli tekee viestien muuttamisesta ja väärentämisestä vaikeampaa ja salauksesta tietyllä tapaa voinee sanoa, "vakaampaa". Periaattessa AES_256 olisi vahvempaa salausta, mutta ottaen huomioon RSA, DSA, DHE, ECDSA ja ECDHE avainten vahvuuden, joka ei yleensä ole reaalimaailmassa kuin saman verran kuin AES_128, tällä ei ole käytännön merkitystä. Camelliaa harvemmin tapaa netissä käytettävän, vaikka se ilmeisesti on yhtälailla vahva tai jopa vahvempi kuin AES-salaus on. Muitakin vaihtoehtoja symmetriseksi salausalgoritmeiksi toki on, mutta ne ovat harvinaisempia käytössä.

MAC:ssa on myöskin valinnanvaraa palvelimilla. On MD5, SHA-1 ja SHA-256/384, sekä eksoottisempi AEAD. Näistä MD5 on täysin epäturvallinen, SHA-1 turvallisuus on riittämätön, SHA-256/384 on hyvä ja luultavasti uusi AEAD on kaikkein paras. Yleisimmin käytössä on juurikin SHA-1, kuten Nordeankin tapauksessa, kenties siksi että se on "vanha ja tuttu" tiivistefunktio. SHA-256/384 tekee kuitenkin tuloaan, joskin turhaan, koska sen sijaan voisi siirtyä suoraan käyttämään AEAD:tä.

Sertifikaattiauktoriteeteista (CA) ja palvelinten avainten varmentamisesta on myös syytä puhua. Aina välillä tulee ilmi tapauksia, joissa sertifikaattiauktoriteetin avaimia on käytetty väärentämään palvelinten sertifikaatteja. Nämä ovat vaarallisia hyökkäyksiä, koska selaimet tuppaavat luottamaan sertifikaattiauktoriteetin digitaalisiin allekirjoituksiin, eli siihen, että tietyn palvelimen X avain on oikeasti sen palvelimen avain, koska tämä (CA) niin digitaalisella allekirjoituksellaan varmistaa. Tähän sudenkuoppaan on olemassa muutamia vastatoimia, kuten selaimen pitäminen päivitettynä (jolloin väärät sertifikaatit ja CA:ta on päivitetty sinnekin) tai esimerkiksi HTTPS Everywhere lisäosan käyttäminen (ja siinä SSL Observatory). Mikäli tämmöinen hyökkäys sattuu kohdistumaan nettisivulle jota käytät, millään salauksen vahvuudella tai menetelmillä ei ole luonnollisestikaan mitään suojaa eikä merkitystä. Onneksi nämä ovat kuitenkin harvinaisia hyökkäyksiä. Yleisempiä tälle sektorille sijoittuvia ongelmia ovat hyökkäykset, joissa CA puuttuu tai on väärä ja näistä selain osaa kyllä varoittaa käyttäjää normaalitilanteissa.

Avainten koosta sitten vielä muutama sananen. RSA:n, DHE:n ja DSA:n avainkoon tulisi aina olla vähintään 2048 bittiä. ECC:ssä puolestaan avainkoon tulisi olla vähintään luokkaa n. 250 bittiä, mieluusti toki yli 500 bittiä. RC4, AES ja Camellia puolestaan käyttävätkin aina 128 tai 256 bittistä salausta, joka onkin riittävää. Tiivistefunktioissa tulisi käyttää vähintään 256 bittistä vaihtoehtoa, kuten SHA-256/384 tai AEAD. Huomaa, että tiivistefunktioista SHA-1 on vain 160 bittinen ja muutenkin epäturvallinen MD5 vain 128 bittiä!

Yleensä salauksen "bittimääräisellä" vahvuudella ei ole ongelmia nettipalveluissa eikä käytännössäkään, vaan salauksen puutteet ovat aivan jossain muualla...kuten juuri PFS:n käyttämättömyydessä ja huteran RC4 käytössä, puhumattakaan murtuneen MD5 tai huteran SHA-1 tiivistefunktioiden käytössä! Mitään käytännön syytä olla käyttämättä suurikokoisia avaimia ei oikeastaan ole olemassakaan, koska nopeuserot ovat täysin mitättömät. Itse asiassa esimerkiksi ECC:n 500+ bittinen avain on jopa nopeampi käyttää kuin vaikkapa 4096 bittinen RSA.

Kuten jo totesin, mitään järkeviä syitä käyttää heikkoja avaimia tai avainkokoja ei oikein olemassakaan. Tällä sektorilla olevat puutteet, kuten tässä tapausesimerkissä Nordean suhteen, kertovat vain karua kieltään kyseisen nettipalvelun ylläpitäjän viitseliäisyydestä ja tietoturvataidoista. Asiat olisi melko helppo ja vaivatonta korjata, siten pitäen huolta siitä, että salaus ei ainakaan petä. Ei nyt, eikä tulevaisuudessakaan.

28. heinäkuuta 2014

"Lastensuojelun tilanne huolestuttaa" - Facebook ryhmä huolestuttaa

Facebookista löytyy kaikenlaista, kuten esimerkiksi ryhmä "Lastensuojelun tilanne huolestuttaa". Liityin ko. ryhmään, kun netissä vouhotettiin lastensuojelun epäkohdista, turhista huostaanotoista, viranomaisten mielivallasta ja muusta asiaan liittyvästä. Ryhmästä löytyikin paljon informaatiota asioihin liittyen, yleensä tosin vain sen toisen osapuolen kertomana, mutta tämä ei minua haitannut, koska en yleensä hurahda uskomaan anekdootteihin. Seurailin ryhmässä käytävää keskustelua ja asioita sivusilmällä, välillä oikaisten jotain väärinkäsityksiä, joita siellä pompsahti esille ja kertoilin omia kokemuksiani lastensuojelualan puljussa työskennelleenä. Kaiken kaikkiaan ryhmä oli varsin antoisaa luettavaa ja seurattavaa.

No, aivan puun takaa sain sitten kenkää ko. ryhmästä. Eikä vain kenkää, vaan minut pistettiin kokonaan blokkiin, eli en pystynyt edes lukemaan ko. ryhmän viestejä enkä edes käymään ko. ryhmän sivulla! En oikein ymmärtänyt, mistä nyt oli kysymys, koska olin postannut ryhmään todella harvakseltaan ja lähinnä notkunut siellä. Ryhmän ylläpitäjä Anne Soimajärvi (vas) otti minuun pikaisesti yhteyttä ja selitti asian.

Lyhyesti sanottuna perustelut olivat:
"Syynä toimintasi ja mielipiteesi muualla. Sinulla on näkemyksiä, jotka eivät sovi ryhmämme jäsenelle...Ryhmässä on alaikäisiä ja kuulut ryhmittymiin, joita emme koe terveellisiksi heille."

Ja pidemmän kaavan mukaan perustelut ja keskustelun voitte lukea tuosta:


Omaa karua kieltää kertoo tietenkin Anne Soimajärven asenne, joka oli "olen valmis keskustelemaan asiasta", mutta kun kysyn että niin siis mistä ryhmittymistä, mistä kirjoituksista jne. niin sitten asenne onkin jotain ihan muuta. Anne Soimajärvi ei ilmeisesti myöskään tajua, että minulla on täysi vapaus julkaista meidän välistä kommunikaatiota kenelle ja miten tahansa minua huvittaa, tässä tapauksessa Facebook-seinälleni ja blogissani. Tämän tein kuitenkin vasta sen jälkeen, kun Anne Soimajärvi ei suostunut mitään selkeitä perusteluita päätökselleen antamaan, vaikka oli juurikin ilmoittanut halustaan "keskustella asiasta".

Mutta kuten tuossa ylläolevassa keskustelussanikin käy ilmi, en voi kuin ihmetellä, miten "johonkin ryhmään kuuluminen" ja "joidenkin mielipiteiden omaaminen" voi olla "haitaksi lapsille", varsinkin kun sitä ei harrasta kyseisessä ryhmässä millään tapaa? Ja katsovatko, anteeksi nyt vaan, ihmiset, joiden omat lapset on huostaanotettu, olevansa jotenkin erikoisasiantuntijoita sen suhteen, mikä mahtaa olla "haitaksi lapsille" ja mikä ei? En voi ymmärtää tuota logiikkaa enkä noita perusteluita, eikä varmasti kovin moni muukaan.

Omaan jalkaansa ko. ryhmä ampuu, kun se karkoittaa jäseniä, ilmeisesti heidän poliittisten(kin) näkemysten vuoksi. Anne Soimajärvihän on Vasemmistoliiton jäsen, mikä kertoneet hänen poliittisesta näkökannastaan ihan tarpeeksi ja siitä, miten kaukana niistä hän kokee minun libertaristina olevan. Muitakin syitä ryhmästä ulos potkimiseen on ehkä ollut, joka tietenkin entisestään nakertaa ryhmän uskottavuutta. Mitä järkeä ja logiikkaa on potkia pihalle asiallisesti ryhmään kirjoittavia ja siellä keskustelua seuraavia jäseniä? Ei mitään. Hullua, vainoharhaista ja epäloogista touhuahan moinen on. Ilmeisesti ryhmän tarkoituksena onkin vain toimia jonkinlaisena olkapäänä ja paskanheittokerhona niille, joiden lapset on huostaanotettu ja se joka uskaltaa edes jotakin kyseenalaistaa tai kertoa, lentää sieltä pihalle. Tai jos ei vain naama satu ylläpitoa miellyttämään, lentää pihalle. Tai jos herraties mitä, niin lentää pihalle.

Löysin netistä hyvän kirjoituksen ko. ryhmän toiminnasta, joka kuvastaa aika hyvin sitä fiilistä, joka minullekin ko. ryhmästä tuli etenkin tämän tapahtuman jälkeen. En ala kopioimaan sieltä juttua, lukekaapa itse jos kiinnostaa tarkemmin tietää, minkämoisesta ryhmästä oikein on kysymys ja millä tapaa se pyrkii toimimaan ja millä perusteella sieltä väkeä lentää runsaasti pihalle. Sääli vain, että hyvän asian pilaa noin surkeasti toimiva ja epäuskottava ryhmä, sekä etenkin sen lapsellinen ylläpito. Lastensuojelussa on ongelmia, pahojakin ja niistä tulisi voida keskustella avoimesti ja julkisesti. "Lastensuojelun tilanne huolestuttaa" -ryhmän kautta se ei kuitenkaan onnistu.

Oman panokseni lastensuojelun ongelmakohdista käytävään keskusteluun annoin aikaisemmassa blogikirjoituksessani tovi sitten, sopii lukaista sekin jos aihepiiri kiinnostaa.