28. helmikuuta 2009

Pari pikaista kysymystä pohdittavaksi

Tilastokeskuksen mukaan Suomen bkt on kasvanut viimeisen 10 vuoden aikana käyvin hinnoin yli 50% ja vuoden 2000 hintatason mukaan yli 30%. Palveluiden ja hyödykkeiden tuotanto on siis kasvanut huimasti.

Kysymys 1: Mistä johtuu erotus näiden kahden luvun välillä ja minkä tahon taskuun arvelette erotuksen päätyneen?

Kysymys 2: Onko tavallisen kansalaisen ostovoima kasvanut tuon 50 tai edes 30% tuona aikana (eli asuuko rahvas nyt 50 tai 30% suuremmassa asunnossa, viettääkö 50 tai 30% pidempää lomaa, käykö parturissa 50 tai 30% useammin ja ostaako 50 tai 30% enemmän ruokaa kuin vuonna 1998)?

Miettikää näitä asioita ja vastauksia. Pienenä vinkkinä mainittakoot seuraava toteamus:

"It is well that the people of the nation do not understand our banking and monetary system, for if they did, I believe there would be a revolution before tomorrow morning."
- Harry Truman, Yhdysvaltojen 33. presidentti.

Suosittelen lukemaan aikaisemmat kirjoitukseni aihetta sivuten, eli tämän, tämän ja tämän.

26. helmikuuta 2009

Työhulluus ei kannata

Sattumalta törmäsin tähän Tietoviikon kirjoitukseen ja se hieman herätti minua pohtimaan taas asioita. Lyhykäisyydessään asian ydin on siinä, että kannattaako tehdä hullun lailla töitä koko ikänsä vaiko ei? Kannattaako se taloudellisesti, elämänlaadullisesti tai edes sosiaalisesti? Käsittääkseni yleisesti ottaen ei kannata. Ei ainakaan himoverottaja Suomessa.

Väännetään hieman kärjistettyä rautalankaa taas. Jos oletetaan, että lukion ja ammattikorkean tai yliopistotutkinnon suorittanut valmistuu ja pääsee työelämään mukaan vaikkapa 25-vuotiaana. No, siinä sitten ihmetellään ja haetaan töitä ja perustetaan perhettä. 30-vuotiaana on sitten edessä ison asunnon hankinta, jonka asuntovelkoja sitten maksetaankin seuraavat 25 vuotta. Paiskitaan töitä niska limassa, pihistellään euroja ja 55-vuotiaana koittaakin sitten onni ja autuus: Velaton talo ja lapset ovat muuttaneet muualle.

No, sitten tietysti lisäkuluja tulee asunnon tässä vaiheessa kuuluvaan remontointiin ja lasten koulutuksen ja muun taloudelliseen tukemiseen. Myös oma rapistuva terveys syö rahaa ja vaivaa. Pian ollaankin jo sitten eläkkeellä ja taas kituutellaan pienellä eläkesummalla päivästä toiseen. Jos säästöjä on kertynyt, ne menevätkin kohta oman terveyden hoitamiseen, viime kädessä palvelukotiasumiseen tai muuhun. Perikunnalle jää ehkä perittäväksi se asunto, joka jo vaatiikin sitten remonttia ja josta pitää tietysti maksaa perintöverotkin.

Kannattaako oikeasti hypätä tuohon oravanpyörään mukaan?

Suomessa ei työnteolla pääse rikastumaan kuin harvoilla aloilla. Omakohtainen esimerkkini muistutti taas tästä, kun palkkani lisät tulivat tililleni ja palkkakuitti ropsahti postiluukusta sisälle. Erilaisia veroja lisistä meni n. 30%. Tämä siis siitäkin huolimatta, että en kuulu ammattiliittoon enkä kirkkoon, jotka veloittaisivat vielä n. 3% lisää palkastani itselleen. Kun lomaltapaluurahat tulevat, niistäkin menee tuo sama n. 30% valtion karvaiseen kouraan.

Kaikesta ekstrasta, jota siis töissäni teen, valtio vie kolmasosan. Tietysti se vie saman myös palkastani, mutta jos pohditaan nyt vaan näitä ekstroja. Ylitöitä, pyhätöitä, yötöitä, iltatöitä ja sen semmoisia. Todellisuudessa hyödyn niistä vain 2/3 niiden sisällöstä. Kiitos siitä, että olen uudenvuoden, viikonloput ja yöt töissä, onkin vain 2/3 todellisuudessa siitä nimellisestä rahallisesta kiitoksesta, mikä minulle siitä suodaan. (Ei sinällään, minulle tuokin toki kelpaa ja aivan sama milloin olen töissä, en nyt siitä purnaa huom.)

Nyt mielenkiintoinen huomio, miten voisin kiertää verotusta tältä osin: Mikäli en ottaisikaan näitä lisiä rahana vaan aikahyvityksenä, saisin vapaa-aikaa enemmän. Vapaa-ajastani verokarhu ei vie 30%. Ähäkutti! Saisin kolmisen viikkoa lisää lomaa, jos ottaisin lomarahani aikana, huomatkaa, kolmisen viikkoa, kuten pitäisi, eikä 2 viikkoa, koska verottaja ei vapaa-ajastani voi verottaa tuota 30% pois!

Tietysti nyt tulee "pieni" ongelma: Kiitos Tehyn typerän sopimisen, työnantajani ei suostu antamaan lomarahoja aikana...työnantaja on sopinut Tehyn kanssa, ettei lomarahoja voi ottaa aikana ulos! Tämä siis siitä huolimatta, etten ole Tehyn jäsen enkä tälläkään hetkellä "nauti" Tehyn työsopimuksen (paska)korotuksista. Kiitos Tehyn mafian, olen pakotettu ottamaan lomarahani rahana, josta verottaja varastaa 30% pois. Kuulostaa suorastaan salaliitolta, jolla estetään työntekijöitä kiertämään verotusta laillisesti ja viettämään enemmän vapaa-aikaa. Tehy siis haluaa pakottaa sairaanhoitajat vaikka uupumaan työssään ja pitävän mahdollisimman vähän vapaata!!! Taas yksi syy lisää erota Tehystä ja liittyä YTK:hon, arvoisat kollegani.

No, yötyöt saa ainakin aikahyvityksinä pois, jos ei niitä rahana halua. Täytyy alkaa jatkossa ottamaan ne sellaisina aina. Silloin jää verottaja nuolemaan näppejään ja minä saan lisää vapaa-aikaa. Nyt tietysti joku alkaa heti huolestumaan, että silloinhan tulotasoni putoaa. Entä sitten? Jos tulotasoni putoaa satasen tai pari kuussa ja saan siitä hyvästä lisää vapaa-aikaa, niin... Itse asiassa, kun tulotasoni putoaa, myös verotukseni kevenee. Heh.

Mikä on vapaa-ajan arvo rahallisesti sitten? Miettikääpä sitä jokainen omalta kohdaltanne. En usko, että se kovin pieneksi muodostuu.

No, lasketaan päinvastoin, eli mitä on työajan arvo rahallisesti sitten. Laskin aikanaan, että mikäli jään työttömäksi, saisin ansiosidonnaista kouraani sen verran, että kiitos alhaisemman verotuksen, nettotulotasoni putoaisi kuukaudessa jotain 450 euroa. Kauheaa, eikö vaan? No, tehdäänpä hauska laskutoimitus, jota ihan oikeasti harva ymmärtää tehdä: Mikä on se nettomääräinen hyöty, jonka saan per tunti kun käyn töissä? Kun erotus on rahassa 450 euroa kuussa ja kuukaudessa tulee työtunteja jotain 150 (kun lomat huomioidaan), niin 450/150=3€ per tunti. Kun olen töissä, en siis tienaa sitä jotain 13€/h mikä tuntipalkkani lienee, vaan todellisuudessa tienaan vain 3€/h, eli 3 euroa tunnissa enemmän kuin jos viettäisin vain vapaa-aikaa työttömänä.

Kannattaako 3€/h paiskia töitä miltei 40 tuntia viikossa, kun vaihtoehtona on maata kotona ja tehdä kaikkea kivaa...harrastaa, nähdä kavereita, lepäillä, juhlia, hoitaa kuntoaan, viettää rentoa vapaa-aikaa? Miettikää näitä asioita ihan oikeasti.

Mikä on sen vapaa-ajan arvo? Kannattaako töitä oikeasti edes tehdä, ainakaan kovinkaan paljon? Kannattaako hypätä oravanpyörään mukaan ja paiskia niska limassa töitä, kun lopputulos on joka tapauksessa sama: Rahaa ei kovin paljon jää säästöön ja eläkkeellä ollessa sitä ei kuitenkaan ole riittävästi säästössä. Koko elämä menee työtä tehden, vapaa-ajan ja sosiaalisten suhteiden kärsiessä työnteosta, ilman mitään konkreettista ja tuntuvaa hyötyä. Kannattaisiko sijoittaa enemmän vapaa-aikaan ja tähän hetkeen, kuin yrittää epätoivoisesti säästää niska limassa raataen jotain tulevaan, kun kuitenkin yhteiskunta huolehtii jos et säästä?

Ongelmana on pohjimmiltaan se, että Suomessa valtio verottaa ja säätelee niin paljon, ettei työn tekeminen ole kovin kannattavaa. Ei työnantajalle, eikä työntekijälle. Sosiaaliturva on toisaalta niin hyvä ja kattava, ettei töitä tarvitse edes tehdä. Kattavan sosiaaliturvan rahoittamiseksi pitää verottaa hulluna niitä, jotka tekevät töitä. Kyseessä on itseään toteuttava noidankehä, joka ei kannusta ketään selkopäistä ihmistä työllistämään eikä tekemään töitä.

Mikäli työllistämiskustannukset olisivat pienemmät ja/tai palkat joustaisivat, töitä riittäisi kaikille, jolloin kaikkien työpanos tulisi hyödyttämään yhteiskunnan hyvinvointia hukkaan menemisen sijasta. Nykyinen sosiaaliturvajärjestelmä ja valtion toiminta työmarkkinoilla ei auta - vaan haittaa työtöntä ja tuhlaa verovaroja. Lisäksi sosiaaliturva on hidas reagoimaan, koska äkillisesti työttömäksi joutuva tai muutoin rahapulaan joutunut ihminen joutuu odottamaan jopa pari kuukautta ennen kuin saa hänelle kuuluvia työttömyysetuuksia.

Tasavero ja/tai negatiivinen tulovero kannustaisi kaikkia ihmisiä aina, kaikissa tilanteissa, tekemään mahdollisimman paljon töitä. Toisaalta se myös yksinkertaistaisi ja nopeuttaisi sosiaaliturvaa tilanteessa, jossa jostain syystä töitä ei ole tarjolla. Mikäli myös sosialistinen eläkejärjestelmä korvattaisiin yksityisellä, voisi jokainen helposti itse suunnitella, miten aikoo oman elämänsä työn ja vapaa-ajan ja tulevaisuuden suhteen arvottaa. Nykyisenkaltaiset tuloloukut ja hullutuksen katoaisivat. Samalla tosin voisi muutamasta tuhannesta muutamaan kymmeneen tuhanteen byrokraattia potkia pihalle valtion ja kuntien hallinnoista ja sosiaalitoimesta, koska yksinkertainen sosiaaliturva yhdessä yksityisen eläkejärjestelmän kanssa ei tarvitse tehotonta byrokratiaa verovaroja haaskaamaan.

21. helmikuuta 2009

Suomenruotsalaista kaksinaismoralismia, osa 2

Prava eli Helsingin Sanomat kirjoittaa taas niin herkkua tekstiä RKP:stä, että on pakko tarttua siihen. RKP:n ja suomenruotsalaisten kaksinaismoralismi tuntuu puhjenneen viime aikoina sellaiseen kukkaloistoonsa, että oksat pois. Ilmeisesti tasaisesti hiipuva kannatus on ajanut ko. porukan tavanomaistakin epätoivoisemmaksi ja nyt koetetaan kalastaa kannatusta jokaisesta mahdollisesta suunnasta.

RKP:n eduskuntaryhmä "haluaa ihmisille vapaan oikeuden päättää omista asioistaan". Hienoa. Juuri näinhän se pitää olla. Kuitenkaan tämä "vapaa oikeus päättää omista asioistaan" ei koske mm. sitä, mitä kieltä ihmisen pitää koulussa lukea, koska pakkoruotsi on ja pysyy koululaisten kiusana. Eikä se varmastikaan koske vaatimuksia esim. "virkamiesruotsin" osaamisen suhteen, eikä tietenkään kaksikielisyyden suhteen ylipäätään.

Pravdan jutussa kerrotaan myös hyvä sutkautus: Eräs Kokoomuksen edustaja totesi, että vapaan valintaoikeuden logiikalla pitäisi sallia myös huumausaineiden käyttö. RKP:n hemmothan puhuvat kovasti vapaasta valintaoikeudesta, kun he nyt puolustelevat nuuskan sallimista. Jos puolustellaan vapaata valintaoikeutta, esimerkiksi kannabiksen käyttö pitäisi tietysti sallia laissa. Jostain syystä RKP:n kansanedustajat eivät ole puolustelleet kuitenkaan kannabiksen laillistamisen puolesta.

Toivon henkilökohtaisesti, että RKP:n kannatus putoaa nollaan ja koko bättrefolk-puolue poistetaan puoluerekisteriä pilaamasta. Näin tulee luultavasti pitkällä aikavälillä tapahtumaankin, vaikka RKP koettaa kovasti kalastella esimerkiksi juuri maahanmuuttajien ääniä, sekä ajaa systeemiä, jossa maahanmuuttajille opetettaisiin vain ruotsia.

Epätoivoista, petollista ja kaksinaismoralistista, RKP!

17. helmikuuta 2009

Suomenruotsalaista kaksinaismoralismia

Hauskaa lukea Iltalehdestä, miten Perussuomalaisten kansanedustaja Pentti Oinonen kauniisti sanottuna kuittaili RKP:n Astrid Thorsille, kun käsiteltiin uutta ulkomaalaislakia. Oinonen lainasi Huvfudsa...Hufvud...Hudfud...jossain hurrilehdessä vuonna 1940 ollutta artikkelia. Artikkelissa kerrotaan suomenruotsalaisten suhtautumisesta Karjalan evakoihin, joita asutettiin myös suomenruotsalaisiin kuntiin. Artikkelista käy mielestäni oikein hyvin ilmi suomenruotsalaisten kaksinaismoralismi, jota Astrid Thors kavereineen yhä harrastaa.

"Yli 30 vuoden aikana ovat suomalaiset jyrsineet pala palalta meidän ruotsalaista maatamme ja kaikenlaisilla metkuilla saaneet suomalaisia kouluja seuduille, minne niitä ei tarvittaisi, ja kaikki tämä heidän suomalaistumisliittojensa johdon alaisina. Mutta nyt se on lopussa. Nyt seisomme yhtenä miehenä, kun uhataan pirstoa se, minkä me vuosisatojen kuluessa olemme rakentaneet. Se on pyhää maata meille. Sitä ei anneta muukalaisille, sillä he ovat meille muukalaisia eli karjalaisia. Emmehän edes ymmärrä heidän kieltään. Ja me olemme saaneet tarpeeksemme kaikista niistä laiskiaisista, joita meidän on ollut pakko pitää ja ravita viime talvesta alkaen, heidän tekemättä puolestaan pienintäkään hyötyä."

Nykyään RKP ja suomenruotsalaiset ylipäätään puhuvat kuitenkin siitä, miten vähemmistöjä pitää kunnioittaa niin Suomessa kuin muuallakin, sekä miten Suomea pitää ehdointahdoin ajaa monikulttuuriseen helvettiin asuttamalla tänne luku- ja kirjoitustaidottomia, työhaluttomia rikollisia Afrikan sarvesta. Näin siis siitä huolimatta, että jo Suojelupoliisikin varoittaa, että Suomi ei kohta pysty enää ehkäisemään maahanmuuttoon liittyviä ongelmia...ongelmia, jotka esimerkiksi Ruotsissa ovat jo arkipäivää.

Vaikkapa Ahvenanmaa on hyvä ottaa tarkasteluun. Ahvenanmaalla on suomea puhuvia suhteessa väestömäärään, kuin mitä Suomessa on ruotsia puhuvia suhteessa väestömäärään. Miksei Suomi ole Ahvenanmaan toinen virallinen kieli, mutta Ruotsi on Suomen toinen virallinen kieli? Entäpä, osaako joku sanoa, montako somalia asustelee Ahvenanmaalla ja miten monta raiskausta per nuppi he saavat aikaiseksi verrattuna Ahvenanmaalaisiin?

Jos Ahvenanmaa on huono esimerkki, niin voidaan toki siirtyä tarkastelemaan muita kuntia, joissa on vahva suomenruotsalainen edustus. Montako kulttuuriamme rikastuttavaa maahanmuuttajaa on Korsnäsissä, Närpiössä, Luodossa, Mustasaaressa, Tammisaaressa ja Pietarsaaressa? Nämä ovat kaikki huomattavan suomenruotsalaisenemmistöisiä kuntia, joissa RKP:lla on käytännössä täysi valta.

Jos monikulttuurisuus on rikkaus, tuo vaurautta ja kaikkea mannaa, sekä Suomessa olevien maahanmuutajien ongelmat johtuvat ensi sijassa kantasuomalaisten kyvyttömyydestä suvaita ja kotouttaa, niin minulla on oikein hyvä ehdotus Astrid Thorsille ja muille RKP:n ihmisille:

Aloitetaan määrätietoisesti sijoittaa maahanmuuttajia runsain joukoin suomenruotsalaisiin kuntiin. Näissä kunnissa RKP:n kaltainen ymmärtäväinen, oikeassa kaikissa maahanmuuttoasioissa oleva puolue on nimittäin miltei diktaattorin asemassa. Suomenruotsalaiset voivat näyttää sitten meille pölhöille kantasuomalaisille mallia siitä, miten maahanmuuttajat integroidaan ja laitetaan takomaan mannaa Suomelle.

Jos maahanmuutto on rikkaus ja tulijat tarvitsemiamme moniosaajia, jotka edesauttavat taloudemme kehitystäkin, niin mikäpä sen mukavampaa suomenruotsalaisille kunnille. Ne alkavat kukoistaa entistä paremmin. Hyvinvointi lisääntyy, rikollisuus vähenee ja talous kukoistaa. Mikä voisikaan olla parempaa, varsinkin kun he saisivat kaiken tämän vilpittömänä lahjana meiltä ummikkosuomalaisilta?

Ehdotankin, että kokeilu aloitetaan Ahvenanmaasta, jonne voidaan aluksi laivata vaikka parisentuhatta somalia. Kokeilua voidaan sitten jatkaa vaikkapa sijoittamalla albaaneja, iranilaisia, irakilaisia, turkkilaisia jne. sitten näihin muihin RKP:n suvereenisti hallitsemiin kuntiin. Varmuuden vuoksi kannattaisi ehkä kuitenkin sulkea näiden kuntien rajat. Sitten voisimme 20v kuluttua katsoa, mitä on saatu aikaan ja verrata, miten hyvin RKP on onnistunut maahanmuuttajien kohdalla siinä, missä mikään eurooppalainen valtio ei ole onnistunut, mutta mitä RKP yrittää koko Suomen kohdalla joka tapauksessa tehdä.

Eikö tämä ole hyvä ajatus?

Ei luulisi ainakaan RKP:llä ja suomenruotsalaisilla olevan mitään sitä vastaan, että saavat kaiken sen mannan mitä maahanmuutto heidän mukaansa Suomelle tuo, samalla voivat sitten näpäyttää meitä kantasuomalaisia hölmöjä näyttämällä, miten tuo maahanmuuttajien kotouttaminen tehdään oikein.

Vai kuinka?

11. helmikuuta 2009

Bluetooth tietoturva (ttomuus)

Olen itse jo vuosia sitten kertonut kotisivuillani Bluetooth tietoturvariskeistä ja niiden minimoimisista. Hauska huomata, että viime aikoina mm. YLEnanto on kiinnittänyt samoihin asioihin huomiota. Syytä onkin.

Bluetoothia käytetään monissa pienlaitteissa, kuten vaikkapa matkapuhelimissa, hands free -laitteissa, digibokseissa jne. Bluetoothia mainostetaan helppona ja turvallisena tapana pienten etäisyyksien langattomaan tiedonsiirtoon. Valitettavasti todellisuus on jotain aivan muuta.

Bluetooth on tosiasiassa turvaton ja salakuunneltavissa reilusti yli kilometrin päästäkin kotitekoisilla laitteillakin. Yksityinen puhelusi voi olla helposti koko kulmakunnan kuultavissa, jos puhut käyttäen hands free -laitetta. Matkapuhelimesi sisältämiä tietoja voidaan varastaa ja sinne syöttää haittaohjelmia Bluetoothia käyttämällä. Langatonta näppäimistöäsi voidaan salakuunnella ja niin edelleen.

Oma kirjoitukseni on lyhyt ja selkokielinen sekä suomenkielinen, mutta tuo esille olennaiset turvallisuuteen liittyvät asiat kuitenkin tavalliselle Bluetoothin käyttäjälle. Suosittelen lukemaan tuon osion huolella, eräänlaiseksi alustukseksi vaikkapa.

Perusasiat Bluetoothin turvallisuuden suhteen eivät ole muuttuneet miksikään, vaikka niitä erittäin harvoin jaksetaan ihmisille kertoa. Tärkeimmät opetukset ja suojautumiskeinot Bluetoothin tietoturvaongelmiin ovat yhä seuraavat:
1) Pidä Bluetooth pois päältä aina, kun et tarvitse sitä.
2) Pidä Bluetooth laitteet "piilotetussa tilassa" silloinkin kun käytät niitä.
3) Hyväksy vain salatut ja autentikoidut yhteydet riittävän pitkällä PIN-koodilla (mieluiten koko 16-merkkiä pitkä satunnainen ja vaihdettavissa oleva).
4) Pidä puhelimesi tai muun Bluetooth laitteesi päivitykset kunnossa!

Bluetoothin nykyversiossa salaus ei kuitenkaan ole mitenkään kovin vahvaa, joten edes pitkä ja monimutkainen PIN-koodi ei anna vahvaa suojaa. Usein se antaa kuitenkin aivan riittävän vahvan suojan. Sekin on huomattavasti paljon parempi, kuin olematon suoja, mitä oletuksena useasti olevan "0000" PIN-koodin käyttäminen antaa.

Sitten itse asiaan. Tai tavallaan, syvemmälle itse asiaan, eli Bluetoothin tietoturvattomuuteen. Keijo Haataja on väitellyt 6.2.2009 tohtoriksi Kuopion yliopistossa aiheella:"Security Threats and Countermeasures in Bluetooth-Enabled Systems (Turvallisuusuhkat ja vastatoimet Bluetooth-yhteensopivissa järjestelmissä)". Itse väitöskirja on ladattavissa esimerkiksi tästä. Haatajan väitöskirja on tuhtia ja pelottavaa luettavaa.

Sen mukaan periaatteessa Bluetooth-laitteita on mahdollista käyttää turvallisesti, jos ne tukevat esimerkiksi "johdot-kiinni-ja-paritetaan-toisemme" menetelmää (OOB) JA ne silloin myöskin muodostavat parituksen vahvalla salauksella, eivätkä myöhemmin suostu vaihtamaan salausta tai mitään muutakaan miksikään ilman uutta "johdot-kiinni" paritusta. Käytännössä tuota kaikkea on kuitenkin hyvin vaikea tavallisen käyttäjän koskaan varmistaa, joten edelleenkin, suosittelen käyttämään ja luottamaan pitkään PIN-koodiin.

Käytännössä tilanne on muutoin se, että kaikki nykyiset Bluetoothin versiot ovat tietoturvan kannalta heikkoja. Ne ovat erilaisin menetelmin salakuunneltavissa, häirittävissä, kaapattavissa ja käytettävissä väärin. Tulossa oleva, Bluetoothin 3.0 spesifikaatio tuo asiaan kuitenkin hieman parannusta. Todellisuudessa parannusta tulee vasta, kun käytetään vain ja ainoastaan tuon speksin mukaista Bluetoothia ja sitäkin tietyin varauksin. Pelkkä hienon ja turvallisen speksin olemassaolo tai tuki sille ei takaa mitään, jos vaikkapa matkapuhelimesi vaivihkaa suostuu käyttämään vanhaa, epäturvallista Bluetoothia myöskin!

Yleinen ongelma Bluetoothin erilaisissa, suoraan sanottuna naurettavan monimutkaisissa "turvallisuus"ominaisuuksissa on, että ne ovat kierrettävissä. Laitteet voidaan ulkopuolisen hyökkääjän toimesta yksinkertaisesti huijata käyttämään epäturvallisia turvaominaisuuksia tai jopa kytkemään ne kokonaan pois päältä. Esimerkiksi 2.1+EDR versio Bluetoothista mahdollistaa periaatteessa turvallisen toiminnan SSP:n avulla, mutta sama speksi määrittelee, että laitteet voidaan hiljakseen käskeä olemaan käyttämättä ko. ominaisuutta. No arvatkaapa, käskeekö hakkeri laitteesi olla käyttämättä ko. ominaisuutta jos hän aikoo ne hakkeroida? Mitäs veikkaatte? Niin ikään salausavaimen pituudeksi voidaan määritellä mitä vain, aina 128 bittiin asti...mitä veikkaatte, mitä hyökkääjä sanoo laitteillesi sopivasta salausavaimen pituudesta? Noniin.

Näin naurettava suunnittelufilosofia antaa mielestäni lähinnä surkuhupaisan kuvan ko. järjestelmän suunnittelijoiden tietoturvaymmärtämyksestä. Bluetoothissa on tultu versiosta 1.0 jo versioon 2.1+EDR:ään kymmenen vuoden kuluessa ja järjestelmän turvallisuuteen on tullut yhä lisää turvaominaisuuksia, esimerkiksi PKI:hin perustuva avainvaihto ja muuta hölmöä. Kaikki täysin turhaan. Yhä ainoa todellinen turvallisuus nojaa salaukseen ja sen onnistuminen ainoastaan riittävän turvalliseen PIN-koodiin. Mutta kun PIN-koodi on useinmiten nelinumeroinen luku, ja usein 0000, niin turvallisuuskin on sama pyöreä nolla käytännössä.

No, eihän toki mitään ihmeitä voisi tehdäkkään oikeasti. Salausavaimeenhan salauksen pitää pohjimmiltaan perustua ja salaukseen pitää pohjimmiltaan kaiken tiedon salassa pitämisen pyrkiä perustumaan. Mitään vippaskeinoa ei ole. Ei kerta kaikkiaan ole. Julkisen avaimen salauskaan ei tuo helpotusta, koska siinäkin avaimet pitää pystyä turvallisesti vaihtamaan, suojassa man-in-the-middle-attackilta. Vaikka tekisimme mitä hilavitkutin vääntöjä ja kääntöjä, tämä perusasia ei muutu miksikään: Vahvaa salausta on käytettävä ja sen salausavaimet pitää saada turvallisesti siirrettyä salausta keskenään haluavien tahojen välille. Tämä tuntuu Bluetoothin turvallisuusspeksejä vääntäviltä unohtuvan.

Bluetoothin suurimmat turvallisuusongelmat saataisiin helposti korjattua, jos vain halua olisi. Yksinkertainen parannusehdotukseni Bluetooth tietoturvattomuuteen:
  1. Jokaisen laitteen olisi käytettävä vähintään 24-merkkistä PIN-koodia ja tuon koodin on oltava vaihdettavissa. Mikäli laitteessa ei ole näppäimistöä, laitteessa on oltava jokin johdotus, joka mahdollistaa sen PIN-koodin turvallisen muuttamisen, sekä ohjeet ja kehoitukset siitä, miten käyttäjä voi sen itse vaihtaa.

  2. Laitteissa, jotka haluavat muodostaa yhteyden toisiinsa ensimmäisen kerran, pitää fyysisesti painaa jotain nappia, jotta paritusprosessi lähtee käyntiin. Näin estetään tahattomat pariutumiset ja sekaannukset, sekä toisaalta osataan kertoa laitteen omistajalle, että jostain syystä pariliitos on rauennut. Kun laitteet eivät ole pariutumistilassa, ne ovat näkymättömässä tilassa, eli eivät kerro ympäristölleen olemassaolostaan mitään.

  3. Kun paritusprosessi käynnistyy, molemmat laitteet lähettävät toisilleen vaikkapa 512 bittiä satunnaista dataa. Yhdistämällä tämä data kryptografisella tiivistefunktiolla salaiseen PIN-koodiin luodaan pääsalausavain. Tiivistefunktiota voidaan pyörittää vaikkapa 1000, 10000 tai 100000 kertaa, jotta lisätään salausavaimen etsimisen vaikeutta entisestään.

  4. Pakotetaan laitteet käyttämään vahvaa salausta ja autentikointia, esim AES-256 jne. kaikissa yhteyksissä. Ei pilipalisalausta kiitos, vaan kunnon, vahva salaus ja autentikointi ja pakollisena. Mitään muuta ei hyväksytä.

  5. Pääsalausavainta käytetään salaamaan yhteyskohtaiset, satunnaiset salausavaimet (AES-256), jotka luodaan aina, kun kaksi ennestään jo paritettua laitetta palaa taas toistensa yhteyteen. Näin jokainen yhteys on salattu erillisella avaimella, eikä pääsalausavainta ja paritusprosessia tarvitse enää käydä periaatteessa koskaan läpi näiden laitteiden kanssa, vaan kerran tehdyn paritusprosessin seurauksena on tallessa pääsalausavaimet näille laitepareile.

  6. Mikäli PIN-koodit täsmäävät laitteissa, ne kykenevät muodostamaan oikeat salausavaimet ja siten koko yhteys on ylipäätään mahdollinen. Mikäli PIN-koodi on väärä, yhteyttä ei ole mahdollista edes muodostaa. Näin ollen, vain valitsemalla vahva PIN-koodi, pitämällä se salassa ja laittamalla sama PIN-koodi niihin laitteisiin, joiden halutaan voivan toimia keskenään, voidaan olla varmoja siitä, että yhteys on aina turvallinen. Käyttäjän ei tarvitsisi tehdä mitään muuta, eikä murehtia mistään muusta.

  7. Lisäbonuksena voidaan kehittää esimerkiksi sellaista, että laitteiden käyttämä taajuushypytys ja taajuusalue on näennäissatunnainen. Näennäissatunnaisuuden määrittelee vaikkapa pääsalausavaimesta johdettu hypytysavain. Näin ollen on mahdollista kätkeä todellakin miltei täydellisesti Bluetooth-laitteiden olemassaolo ja käyttö, koska tietämättä oikeaa PIN-koodia ja pystymättä seuraamaan alkuperäistä paritustapahtumaa, ei ole mahdollista tietää, millä taajuudella milloinkin kyseiset laitteet edes kommunikoivat keskenään. Salattu datapurske hukkuu eri taajuuksille kovaan hypytykseen.
Voila!

Bluetoothin turvallisuuteen perehtynyt lukijani varmasti ymmärtää, että itse asiassa, nykyinen Bluetooth toimii hyvin samaan tapaan kuin tuossa kuvailemani. Ainoana varsinaisena parannuksena olisi siis: PIN-koodin pituuden kasvattaminen ja käytön pakottaminen ja vaihtamisen mahdollistaminen, salauksen vaihtaminen vahvaan ja sen käytön pakottaminen, sekä mahdollisesti tuo laitteiden kätkeminen taajuushyppelyn taakse.

Paljon ei tarvitsisi tehdä, niin turvallisuus olisi taattua. Kunhan ei annettaisi mahdollisuutta laitteille tehdä mitään muuta, kuin toimia vain turvalliseen tapaan. Ei kompromisseja, ei kiertoteitä, ei mahdollisuutta "neuvotella" turvallisuutta pienemmäksi. Ei, ei ja ei.

Miksi näin ei sitten tehdä? Vastaus on yksinkertainen: Ihmiset ostavat Bluetooth laitteita nykyiselläänkin, eivätkä ymmärrä eivätkä välitä vaatia kunnon turvallisuutta. Harvat edes tietävät, mitä kaikkia riskejä Bluetoothin nykyiseen käyttöön liittyy. Kun ihmiset kerran ostavat paskaa, niin miksi vaivautua kehittämään parempaa...

Jos sinua kiinnostaa, mitä kaikkea hauskaa voi Bluetoothilla tehdä ja mitä tietoja kaivaa pahaa-aavistamattomien ihmisten laitteista jne. niin suosittelen kokeilemaan tätä hauskaa ohjelmaa. Se toimii useimmissa javaa pyörittävissä älypuhelimissa ja on ilmainen, sekä helppokäyttöinen.

5. helmikuuta 2009

YLEnantokin myöntää: Lähes kaikkia miehiä syrjitään sukupuolensa vuoksi!

Jo on aikoihin eletty, kun punavihreä mediakin, YLEnanto etunenässä, uskaltaa mennä tämmöstä julkaisemaan:

Miehiin kohdistuva sukupuolisyrjintä Suomessa yleistä.
Lähes kaikki suomalaiset miehet joutuvat kokemaan elämänsä aikana sukupuolisyrjintää, kertoo tuore väitöstutkimus...miehiin kohdistuva syrjintä ohitetaan tasa-arvopolitiikassa lähes systemaattisesti.

Missään tässä ei ole tietenkään mitään uutta minulle. Olen näitä asioita jo käsitellyt blogissani aikaisemminkin. Heh. Kiva toki, että valtamediakin alkaa havaita samoja asioita. Sinä päivänä, kun YLEnanto uskaltaa mainita kaikkein suurimman (miehiin kohdistuvan) tasa-arvo-ongelman Suomessa: Miesten asevelvollisuuden, minä alan oikeasti huolestua, mihin tämä maailma on menossa. ;)

Lainaus Halla-aholta

Halla-ahon uusimmasta tuotoksesta pieni lainaus:

Kaikki tietävät, miten Suomi on pärjäillyt esimerkiksi 10 000 somalinsa kanssa ja päinvastoin. Kun heitä tulee jatkossa 5000 lisää joka vuosi, jokainen voi tykönään pohtia, mitä se merkitsee. Voimme tietysti nostaa kädet ylös ja toivoa, että taantumassa tarpovalla Suomella on jatkuvasti tarjota motivoivaa työtä uusille lukutaidottomille vuohipaimenille ja kamelikuskeille, tai vaihtoehtoisesti loputtomasti rahaa heidän asuttamiseensa ja elättämiseensä muutaman suurimman kaupungin lähiöissä.

Ei lisättävää. Ei kerta kaikkiaan yhtään mitään. Miettikää näitä asioita.

3. helmikuuta 2009

Torrent sivustoista tulossa laittomia koko EU:ssa!

Afterdawn uutisoi asiasta. Esimerkkinä torrent-palvelusta, joka pitäisi sulkea tämän pohjalta, mainitaan The Pirate Bay. Näin se sensuuri etenee verkossa, huomaamatta, askel askeleelta, useilla eri rintamilla (lapsipornosuodatus, tämmöiset pykälät, jne).

Logiikka on samaa luokkaa tietysti kuin sillä, että kirpputorit pitäisi kieltää ja sinne pääsy estää, koska tiedetään, että siellä tupataan monesti myymään varastettua tavaraa. Tietysti ero on siinä, että kirpputorien varastettu tavara on oikeasti joltain pois, joka on tuon tavaran menettänyt eikä voi sitä käyttää...bittejä, jotka joku kopioi, ei kukaan menetä eivätkä ne ole keneltäkään pois.

Tietenkään tämäkään ehdotus ei sinällään estäisi mitään, koska torrent-palveluita voidaan helposti perustaa EU:n ulkopuolelle. Luultavasti tämänkään ehdotuksen todellinen tarkoitus ei ole saada aikaan mitään tuonkaltaista tilannetta, vaan yksinkertaisesti vain kiristää sensuuria ylipäätään. Kun saadaan jotain kiellettyä, on helppo laajentaa kieltoa taas eteenpäin. Näinhän ollaan "lapsipornosuodatuksen" kanssa jo tekemässä. Kun torrent-sivustot kielletään, on vain pieni askel kategorisesti lisätä nekin tuohon suodatusjärjestelmään, etenkin jos ne toimivat EU:n ulkopuolella. Sitten sinne sopii lisätä "vihasivustot", "uhkapelit", "kilpailevat lääkevalmistajat", jne. jne.

Tämäkään ei nähdäkseni ole kuitenkaan mikään itsetarkoitus tai edes tavoite. Todellinen tavoite on pala palalta säädellä, sensuroida ja valvoa internettiä, koska vapaa tiedonvälitys on valtaa pitävien tahojen pahin vihollinen. Vapaa tiedonvälitys on todellakin sellaista, että se mahdollistaa minkä tahansa tiedon välittämisen eteenpäin, teoriassa kaikille maailman ihmisille nopeasti ja helposti. Se on erittäin vahva voima. Siksi sitä ei haluta ihmisillä olevan. Ihmisten ei haluta tietävän mitään, mitä valtion byrokraatit ja poliitikot eivät halua heidän tietävän, eikä ihmisten haluta valitsevan mitään, mitä valtion byrokaatit ja poliitikot eivät halua heidän valitsevan. Näin se menee. (Puhumattakaan valtion byrokraattien ja poliitikkojen taustavoimista ja mitä he haluavat.)

Sananvapaus ja vapaa tiedonvälitys on joka tapauksessa paljon arvokkaampaa, kuin mikään paha, mitä sen avulla voidaan tehdä. Niitäkin oikeasti pahoja juttuja, mitä internet mahdollistaa, voidaan ehkäistä ja niihin syyllistyneitä jäljittää ja rangaista ihan normaalin poliisitoiminnan avulla, kuten muitakin oikeita rikoksia. Siihen ei tarvita sensuuria, säätelyä ja mielipuolista valvontaa. Ei, se ei ole täydellistä, kuten ei muukaan rikostentorjunta ja kriminaalien metsästys ole. Mutta se saa luvan kelvata, koska isovelivalvoo-poliisivaltio on paljon pahempi vaihtoehto, kuin se, että jotkut kriminaalit eivät välttämättä jää kiinni rötöksistään.

1. helmikuuta 2009

Matti Vanhanen kusettaa taas äänestäjiä

YLEnanto kirjoittaa tänään seuraavaa:

Pääministeri Matti Vanhasen mukaan Suomi on ilman omaa syytään joutunut ultraliberaalien rahoitusmarkkinoiden uhriksi. Vanhanen vaati Radio Suomen pääministerin haastattelutunnilla, että jatkossa markkinoita on valvottava tiukemmin. "Koko kriisi alkoi rahoitusmarkkinoiden löperöstä toiminnasta lähinnä Yhdysvalloissa, mutta siihen osallistuivat myös monet eurooppalaiset pankit, Vanhanen sanoo."

Uskomatonta tuubaa, joka osoittaa, ettei Matti Vanhanen tiedä taaskaan yhtään mitään mistä puhuu. Nykyinen taloudellinen kriisi johtuu nimenomaan valtioiden sekaantumisesta rahoitusmarkkinoille, eli rahoitusmarkkinoiden liiasta säätelystä, ei mistään ultraliberalismista! Matti Vanhanen on jo tosin aikaisemminkin osoittanut, että hän vastustaa demokratiaa, joten jokainen voi tehdä tästäkin taas omat johtopäätöksensä...

Älkää pelastako rahoitusmarkkinoita, älkääkä varsinkaan verovaroillamme!