28. tammikuuta 2019

TiVi: Langattomat autonavaimet turvattomia - hupaisaa!

Olipas hupaisaa lukea Tietoviikosta tänään jymyuutinen:"Katso surulliselta listalta, lähtisikö uudehko autosi helposti varkaan matkaan", jossa kerrotaan "avaimettomien" langattomien autonavainten tietoturvariskeistä. Hupaisaa siksi, että itse kirjoitin näiden härveleiden tietoturvattomuudesta blogissani miltei päivälleen 8 vuotta sitten! Eipä se silloin toimittajia tai yleisöä tuntunut kiinnostavan. Ehkä nyt, kun TiVi uutisoi samasta asiasta 8 vuotta myöhemmin, se saa suurenkin yleisön mielenkiinnon ja ihmettelyn "Voi, miksei kukaan kertonut meille tätä merkittävää ja aika lapsellista tietoturva-aukkoa aiemmin, miten olimmekaan vuosikausia pimennossa ja miten näin mittava tietoturva-aukko ylipäätään saattoi koskaan olla mahdollinen..." 

Kyllä tälle kansalle asioista valistaminen ja varoittaminen on täysin turhaa työtä. Ei näin tyhmä kansa mitään opi, ei ainakaan, jos oppi tulee minulta.

Väännetään rautalangasta: Mikä tahansa avainsysteemi, joka ei vaadi avaimen omistajan aktiivisuutta, on automaattisesti tietoturvaton. Aivan kuten on mikä tahansa muukin tietoturvaratkaisu, joka ei vaadi mitään, eli joka toimii "automaattisesti". Tälle faktalle ei mikään vippaskonsti voi tehdä yhtään mitään, vaikka kuka väittäisi markkinointipuheissaan mitä.

Tosin sekään, että systeemi vaatii käyttäjän napin painallusta, ei tee siitä maagisesti turvallista, ei etenkään, jos systeemi toimii langattomasti. Avaimessa ja vastaanottimessa pitäisi olla sisäinen, tarkka ja keskenään vielä jokaisesta oikeasta vastauksesta uudelleensynkronoituva kello ja salattu yhteys vaihtuvalla avainkoodilla ja vahvalla salauksella. Ja se tärkein juttu, joka voi olla vaikeaselkoista, mutta juuri täsmälleen näin eikä mitään muttia eikä ettiä: Jokaisen napinpainalluksen tulisi luoda satunnaiseen siksi kerraksi luotuun lukupariin (auto ja avain luovat molemmat oman satunnaisen luvun) ja siemenlukuun kryptografisesti yksisuuntaisella tiivistefunktiolla kytketty aikaleimattu avauskäsky ja  sen tulisi olla voimassa vain esimerkiksi 5s ajan, jonka jälkeen se muuttuu epäkelvoksi vastaanottimessa. Homman voisi esittää kaavana, jossa x on siemenluku (512bit), z on satunnainen luku (256bit) ja t on aikamääre sekunnin tarkkuudella: sha512(x+z1+z2+t). 

Pelkistetysti sanottuna, ensiksi avain ilmoittaa autolle, että "hei, minä täällä, sarjanumeroni on se ja se, haluan avata/sulkea auton" ja jos sarjanumero täsmää, auto aloittaa vastaviestinnän muodossa "ahaa, jos olet avain, niin sitten osaat kertoa, mikä on oikea vastaus, kun siemenluvusta, minun luomastani luvusta z1, joka on esim. 4257982457982348567245609235 ja sinun luomastasi luvusta z2, sekä aikamääreestä t, joka on nyt siis esim. 20190128195546 tehdään SHA512 tiiviste?". Avain ottaa nämä tiedot, keksii luvun z2, tekee laskutoimituksen ja vastaa autolle "Vastaus on (esimerkiksi) AFHEARHJADVGYTUAERTYZVJHEUGFTHO, kun z2 on esimerkiksi 469284624276420684256078082426". Auto ottaa avaimen antaman luvun z2 ja tekee saman laskutoimituksen omaa sisäistä kelloaan aikamääreenä käyttäen ja jos vastaus on sama, avain on tunnistautunut autolle ja auto on tunnistautunut avaimelle ja ovet voidaan avata. (Tarkemmin sanottuna avain ja auto voivat tehdä vaikkapa 5 eri laskutoimitusta 5 eri sekuntimäärää käyttäen ja lähettää kaikkien niiden tulokset toisilleen, jos yksikin niistä täsmää, avauskäsky on oikea. Tämä siksi, että kellot eivät välttämättä ole aivan jetsulleen samassa ajassa autossa ja avainperässä.) Auton omistajalle sitten vaikkapa erillisen turvakortin raaputuspinnan taakse tuo siemenluku varmaan talteen siltä varalta, että joskus autonavaimet hukkuvat ja pitää luoda uudet avaimet.

Tällöin mitkään "napataan yksi signaali ja syötetään se myöhemmin" hyökkäyksetkään eivät onnistu, koska myöhemmin syötetyt signaalit eivät ole enää ajallisesti kelpoja, eikä tietenkään ajanmukaista signaalia ole mahdollista luoda tietämättä salaista siemenlukua (joka ei luonnollisestikaan ikinä poistu laitteista ja joka on niissä turvapiirin suojissa lukuyrityksiä vastaan). Auton tai avaimen minkäänmoinen feikkaaminenkaan tai satunnaisluvun "korvaaminen" tunnetulla luvulla ei onnistu, kun molemmat osapuolet (auto ja avain) kumpikin luovat ja käyttävät myös itse luomaansa satunnaista lukua tuossa systeemissä. Yhteyden auton ja avaimen välillä ei tarvitse edes olla salattua, kun systeemi tehdään näin, mutta ei mikään toki estä käyttämästä vaikka AES256-salausta satunnaisilla 128bit IV:llä ihan vaan vittumaisuuden vuoksi, puhumattakaan toki vahvasta hajaspektrilähetteestä (DSSS), joilla jo itsessään tehdään toki lähetteen kaikenlainen kuuntelu ja myös häirintä mahdottomaksi toteuttaa. Tällöin systeemissä on ikäänkuin tuplasuojaus, mikä on enemmän kuin tarpeeksi kaikkia nykyisiä ja tulevia hyökkäyksiäkin vastaan. Hintaa tämmöiselle systeemille ei tulisi kuin muutamia euroja, korkeintaan pari-kolmekymmentä euroa ja se olisi ns. idiootinvarma.

Toki yllä kerrotun sijaan voitaisiin myös ottaa oppia nettimaailmasta ja käyttää auton avaamiseksi yksinkertaisesti U2F:ää, eli käytännössä tämmöistä Yubikeyn avainta. Sama avain sopisi sitten myös mainiosti kaikissa tunnetuissa nettipalveluissa turvalliseen 2-vaiheiseen tunnistautumiseen tietokoneen usb-väylän kautta. Toki kaikki NFC-höpötykset pitäisi unohtaa ja käyttää fyysistä USB-porttia auton ovessa, jonne tuo Yubikeyn tikku tökättäisiin ja josta painettaisiin nappia (muuten olemme taas takaisin ongelman ytimessä, eli ei-aikakoodatun radiosignaalin edelleenlähetyksessä). Siinäpä olisikin todella edullinen, monikäyttöinen, turvallinen ja jo hyväksi havaittu ratkaisu tähän autojen turvallisuusprobleemaan - ja samalla kertaa se ratkaisisi netinkäyttäjien 2-vaiheisen tunnistamisen ongelman!

Mutta niin kauan, kun edes miljardiluokan bisnestä pyörittävät autonvalmistajat eivät välitä, eivätkä tajua turvallisuudesta edes sen vertaa, että ymmärtäisivät jo maalaisjärjellä havaittavissa olevan perinpohjaisen tietoturvattomuuden, edes sen jälkeen, kun siitä on jo kohta 10 vuotta sitten rautalangasta vääntäen heille kerrottu, ei liene toivoakaan, että ne koskaan ryhtyisivät mihinkään noin suuriin tietoturvaparannuksiin. Tietoturvan taso on ja pysyy jatkossakin autoissa aivan olemattomana. Eivätkä kuluttajat toki parempaa tajua edes vaatia, joten saavat sitä, mitä ansaitsevatkin: Paskaa.

24. tammikuuta 2019

Helsingin hovioikeus eväsi minulta todistajan käytön järjestyssakkoasiassa!

Nyt alkaa mennä jo absurdiksi. Korjakoff määräsi minulle maksimi järjestyssakon Ilja Janitskin oikeudenkäynnin nauhoittamisesta. Tietenkin koko järjestyssakko on absurdi, ei sellaista voi tuollaisesta määrätä, kuten vastineestanikin voitte selvästi lukea (ja toki hovivalituksestani). 

No, nyt Helsingin hovioikeus ilmoitti, etten saa käyttää todistajana nimeämääni henkilöä, Oulun käräjäoikeuden laamannia, joka on asiantuntija järjestyssakko- ja nauhoittamisasioissa. Näin tehden hovioikeus pyrkii tietenkin siihen, ettei löydy ketään, joka sanoisi olevan mahdotonta määrätä takautuvasti järjestyssakko oikeudenkäynnistä, jossa ei ole järjestyshäiriötä ollut. Kun ketään ei löydy tuon järjestyssakon laillisuutta kiistämään, hovioikeus voikin sitten siunata sen järjestyssakon asiallisena. Näin tämä menee.

Olen laittanut hovioikeuteen tiedon uudesta todistajasta. Tiina Keskimäki tulee oikeuteen todistelemaan, mitä tuolla Ilja Janitskin käräjillä tapahtui, oliko siellä salissa järjestyshäiriötä ja aiheutinko minä moista vaiko ei. Katsotaan, miten nyt käy. Luultavasti hovioikeus evää minulta tämänkin todistajan käytön johonkin tekosyyhyn vedoten.

Alla ko. paperit:



22. tammikuuta 2019

KKO ei ottanut rikokseen yllyttäminen -tuomiotani käsiteltäväkseen

Yllytyskaustissa hovioikeuden yksi esittelijöistä oli sitä mieltä, että tuomio oli väärä ja perustelikin sen erinomaisesti. Niinpä tein KKO:lle valituksen sen mukaisesti ja vastaus tuli tänään: Eivät tietenkään ota käsittelyynsä, tämäkin oikeusmurhatuomioni jää siis voimaan. Tämmöistä "oikeus"valtiota taas tälläkin kertaa. Kuten olen jo aikaisemminkin sanonut: Koska oikeutta ei ole Suomessa mahdollista saada oikeuslaitoksen kautta, on se haettava omankäden kautta.



PS. Suomen oikeuslaitoksen mukaan yllytän nytkin siis lukuisiin rikokseen seuraavilla toteamuksillani, joten tehkää ihmeessä rikosilmoitukset poliisille:
  • Henkilöautolla voi ajaa ylinopeutta, jos painaa kaasupolkimen pohjaan.
  • Kannabista voi ostaa kadulta ja internetistä.
  • Haulikolla ampumalla voi murhata ihmisen.
  • Kaatamalla bensiiniä päälle ja heittämällä perään tulitikun, voi polttaa ihmisen tai rakennuksen.
  • Laittamalla karkkipussin vaivihkaa kaupassa taskuunsa voi syyllistyä näpistykseen.
  • Kesämökille voi murtautua helposti etenkin talviaikaan.

16. tammikuuta 2019

Kansalaisaloite seksirikollisista matuista kertoo kaiken olennaisen suomaloisista

Kansalaisaloite.fi palvelussa on yhtäkkiä suuren suosion saanut aloite "Seksuaalirikoksesta suomessa tuomitun oleskeluluvan peruuttaminen ja karkoitus", joka kertoo kaikkiaan aivan kaiken olennaisen tästä tyhmästä kansasta, suomalaisista. Aivan kaiken. Käydäänpä läpi muutamia pointteja siitä...

  1. Suomessa kirjoitetaan isolla kirjaimella. Eikö edes tätä osata oikein?

  2. Tärkeämpää olisi ENNALTAEHKÄISY, eli se, että Suomeen ei päästetä yhtään ihmistä, jonka henkilöllisyydestä ja aikomuksista meillä ei ole varmaa tietoa, eikä etenkään päästettäisi yhtään turvapaikkaturistia tänne läpsyttelemään. Aivan turha selitellä ja vääntää tämmöistä jälkihoitoa, oireiden hoitoa, kun itse sairaus jätetään kokonaan hoitamatta. Mutta sehän ei suomaloisia kiinnosta vittuakaan, koska tyhmät suomaloiset haluavat vain pikaista oireen piilotusta, eivät ratkaisua itse ongelmaan!

  3. Oleskeluluvan peruuttaminen ei merkitse mitään, kun pitäisi myös peruuttaa turvapaikkahakemus, saatu turvapaikka, kansalaisuus ja kaikki muutkin "saadut oikeudet" tämmöiseltä rikolliselta turvapaikkaturistilta. Hohhoijaa. Joten tällä aloitteella ei ole käytännössä mitään merkitystä.

  4. Aloitetta ei ehditä edes käsittelemään eduskunnassa, joten tällä aloitteella ei ole mitään merkitystä.

  5. Aloite on niin huonosti tehty, ettei siinä ole otettu huomioon edes muita lakeja, joiden kanssa se on ristiriidassa niin pahasti, ettei tätä aloitetta voida koskaan vääntää laiksi, joten tällä aloitteella ei ole mitään merkitystä.

  6. Aloite oli saanut huomattavan vähän kannatusta ennen tätä uusinta Oulun matupedoskandaalia. Vaikka näistä asioista oli puhuttu jo 20 vuotta, ei asia ole kiinnostanut suomaloisia paskan vertaa. Vaikka näitä tapauksia on jo ennestään vaikka miten monta, ei asia ole kiinnostanut suomaloisia paskan vertaa. Vain sitten, kun tämä yksi juttu nousi jostain syystä valokeilaan, yhtäkkiä kansa heräsi ja meni vetämään nimensä alle. Ei saatana miten tyhmä tämä kansa on ja miten saatanan helposti manipuloitavissa!

  7. Aloite toimii synnintunnustuksena ja syntien anteeksiantona suomaloisille, jotka ovat vuosikymmenet ummistaneet silmänsä maahamme kohdistuneesta kulttuurimarxistisesta mädätyksestä matuiluineen ja pedofilioineen kaikkineen. Kun tyhmä suomaloinen ei ole viitsinyt tehdä yhtään mitään vuosikymmeniin asioiden saattamiseksi järkevälle tolalle, ei ole viitsinyt pitää mekkalaa, tuoda asioita esille omalla nimellään ja naamallaan (kuten esim. minä olen tehnyt), eikä edes äänestää mitenkään järkevästi ja kokee nyt tietenkin syyllisyyttä omista tyhmistä valinnoistaan, jotka ovat tähän tilanteeseen johtaneet: Tässä on loistava synnintunnustus ja syntien anteeksianto! Vedä nimi alle niin 25v hiljaiseloa ja tyhmyyttä ja saamattomuuttasi on kaikki anteeksi annettu! HALLELUJA! Noniin, sitten taas takaisin pää pensaaseen, Salatut Elämät tai lätkämatsi pyörimään ja voikin unohtaa ikävät tosiasiat taas seuraavan 25v ajaksi, jeejee. Eikös olekin kätevää?

Suomalaisten pitäisi alkaa oikeasti tekemään jotain KONKREETTISTA asioiden saattamiseksi oikealle tolalle, mutta siihenhän suomalaisista ei ole. Siksi käytänkin heistä termiä "suomaloiset", koska sitähän he ovat: Lauma ihmisiä, jotka vain loisivat täällä itsekin, välittämättä yhtään, mitä ympärillä tapahtuu, mitä jälkipolville tehdään ja mitä meidän koko länsimaiselle yhteiskunnalle on käymässä. Ei, vaikka on 20 vuotta valistettu ja varoiteltu, sellaisin rautalankaesimerkein, että tyhmemmänkin pitäisi tajuta, missä mennään. Tämä on jo nähty kerta toisensa jälkeen ja taas nähdään.

Lopettakaa nyt vittu oikeasti tämmöisten paskojen tekeminen ja jakaminen. Jos haluatte muuttaa asioita, ALKAKAA MUUTTAMAAN NIITÄ. Pitäkää mekkalaa. Olkaa esillä netissä ja arkielämässä omalla nimellänne ja naamalle. Valistakaa ihmisiä. Jakakaa tietoa ja varmistakaa, että se tieto menee oikeasti perille. Osallistukaa mielenosoituksiin kykynne mukaan sen sijaan, että löhöäisitte sohvalla katsoen lätkää ja kaljaa lipittäen. Tukekaa taloudellisesti ja henkisesti kaikkia niitä, jotka tätä taistelua käyvät. Äänestäkää saatana edes jotenkin järkevästi! Kyllä, kaikki tuo edellyttää, että OIKEASTI TEETTE ASIOILLE JOTAIN. Oikotietä ei ole. Helppoa ratkaisua ei ole. Koettakaa nyt vähitellen tajuta se.

Tämmöisten paska-aloitteiden allekirjoittaminen ei mitään muuta, kuten yllä olen jo rautalangasta tyhmemmillekin vääntänyt. En voi tuntea mitään muuta kuin syvää halveksuntaa tämmöisen aloitteen tekijöitä ja niitä kuola suunpielistä valuen allekirjoittaneita ääliöitä kohtaan, jotka luulevat nyt "tekevänsä jotain asioille". He ovat idiootteja. Jos tämä osuu sinuun ja vituttaa, niin hyvä, sen on tarkoituskin vituttaa, koska totuus sattuu.

8. tammikuuta 2019

Ei helmiä sioille!

Jotkut ovat ihmetelleet, miksi nimeni on poistettu Reformin listoilta. Tässä selitys.