18. syyskuuta 2019

Valtio haluaa keksiä pyörän taas uudestaan - mobiilihenkilökortin!

TiVi uutisoi, että valtio on kehittämässä nyt sitten kuitenkin uutta tunnistusmenetelmää, mobiilihenkilökorttia. Tämä siis siitä huolimatta, että valtion kehittämät ja väkisin ajamat HST-kortit, sen enempää kuin mobiilivarmennekaan tai mobiiliajokorttikaan, eivät ole saaneet yhtään minkäänlaista suosiota ja käyttöä. Silti on pakko koettaa taas kerran ja hukata verovaroja tämmöiseen sekoiluun. Aivan uskomatonta.

Itse kirjoitin jo keväällä, että valtion tulisi yksinkertaisesti hylätä nämä kaikki hevonpaskasuunnitelmat ja systeemit ja käyttää yhtä hyvää, olemassa jo olevaa systeemiä, eli mobiiliajokorttia ja kehittää siitä myös tunnistamiseen - myös verkossa - soveltuva systeemi. Se olisi yksinkertaista, edullista ja tehokasta, sekä mahdollistaisi yhdellä sovelluksellä sekä
  1. Ajo-oikeuden osoittamisen.
  2. Henkilöllisyyden tunnistamisen pankissa jne. kasvotusten jne.
  3. Kirjautumisen verkkopalveluihin vahvalla tunnistautumisella jne.

Ei, ei käy. Pitää keksiä pyörä taas uudestaan ja joka saatanan tarkoitukseen eri sovellus ja systeemit.

Miksi ihmisellä pitää sitten olla erikseen, sekä mobiiliajokortti, että myös mobiilihenkilökortti? Mikä helvetin järki tässä on? Mobiiliajokortilla kun voi jo tunnistaa henkilöllisyytensä nytkin kasvotusten ja se pitää kuitenkin mukana olla, koska nyt suunnitelmissa olevassa mobiilihenkilökortissa ei tietenkään tule olemaan ajo-oikeustietoja mukana!

Aivan pähkähullua. Mielipuolista. Järjetöntä.

Normaalia valtion toimintaa siis.

Tietenkään nämä tunnistautumis- ja muut jutut eivät koske kuin kantasuomalaisia, joiden henkilötiedot kyllä varmistetaan vahvasti joka helvetin kerta, kun jotain aiot ostaa tai tehdä. Matuja, joilla on taskussa vaikka kymmenen eri henkilöllisyyttä eri EU-maissa, tämä ei tietenkään koske millään muotoa...korkeintaan saavat haluamaansa henkilöllisyyteen sitten sopivan mobiilihenkilökortin - jokaiseen puhelimeensa eri henkilöllisyydellä varustettuna tietenkin!

22. elokuuta 2019

Ei haittaa, vaikka et tiedä, mitä ja kenelle olet tunnistautumassa?


Muistanette kirjoitukseni Nordean tunnuslukusovelluksen (ja muiden vastaavien) tietoturvaongelmasta keväältä? Asia ei oikein edennyt julkisuuden, eikä Nordean kautta, joten päätin ottaa yhteyttä suoraan CertFi tietoturvaongelmailmoituksen kautta. Eipä etene sielläkään asia, sain nimittäin tämmöisen vastauksen:
Kiitos yhteydenotosta. Testien perusteella Nordean sovellus tosiaan näyttää kirjautumisen kohteen, mutta ei erillistä yksilöllistä kirjautumistunnistetta per kirjautumisyritys. Tämä ei sinänsä kuitenkaan mahdollista tunkeutumista suoraan verkkopankkiin (tai esiintymään käyttäjän nimissä tunnistautumisen kautta) ilman käyttäjän aktiivisia toimia ja/tai epätarkkuutta kirjautumisten hallinnassa. Vastaavalla tavalla toteutettuja monivaiheisen kirjautumisen todennuksia liikkuu paljon, joten sinänsä toimintamalli ei ole poikkeuksellinen tai turvaton itsessään. Tämän johdosta emme näe tässä tarvetta haavoittuvuuskoordinoinnin käynnistämiseen osaltamme.

Mielenkiintoinen näkemys, että tuo ei olisi ongelma. Nimittäin, kun mobiilivarmennetta aikoinaan suunniteltiin, tuo nimenomainen asia katsottiin tietoturvaongelmaksi ja se korjattiin siten, että mobiilivarmenteen käyttöön lisättiin yksilöivä tunnus, jolla käyttäjä voi varmistaa, että on hyväksymässä juurikin sen asian, mitä haluaa hyväksyä, eikä jotain ihan muuta.

Kuitenkin, kun sama tietoturvaongelma vaivaa Nordean (ja muiden pankkien) kirjautumissovelluksia täsmälleen samassa "vahvassa sähköisessä tunnistautumisessa", niin nyt se ei sitten olekaan mikään tietoturvaongelma, eikä sitä tarvitse korjata.

Aha.

No miksi se sitten oli sitä mobiilivarmenteen osalta ja se katsottiin tarpeelliseksi korjata, ennen kuin mobiilivarmenne lanseerattiin laajaan käyttöön?

Niih.

Tällä tasolla mennään taas kerran Suomessa. Tietoturvasta ei välitetä vittuakaan, eikä ketään kiinnosta vittuakaan. Sitten ihmetellään taas, kun jotain sattuu, että mitenkäs näin pääsikään tapahtumaan.



PS. Monet ns. phishing hyökkäykset verkkopankkeja vastaan (ts. käyttäjien kusetukset esim. valepoliisisoitot jne.) tyssäisivät juurikin tähän varmistukseen, koska kusetettu käyttäjä voisi tajuta, että hänen hyväksyttäväkseen tulee hänen sovellukseensa jonkun muun tekemä kirjautuminen! Sovelluksessa voisi vielä lukea isoilla punaisilla kirjaimilla "Jos et ole ITSE suorittanut tätä kirjautumista omasta aloitteestasi, hylkää kirjautuminen!", jotta tyhmempikin ymmärtäisi, että kusetushyökkäys on menossa. Mutta nähtävästi tämä ei kiinnosta ketään. Ei siinä sitten mitään.

12. elokuuta 2019

Kuntalaisaloite tappotuomion saamiseksi paskomahanhille Raumalla

Alkoi sen verran ottaa päähän näiden paskomahanhien toiminta, että tein asiaan liittyen kuntalaisaloitteen. Raumalla asuva tai muuta intressiä Raumalla omaava voi allekirjoittaa sen, jonka jälkeen se lähetetään (2v kuluessa) kuntaan käsiteltäväksi. Mikäli näiden haittamaahanmuuttajien paskomahanhien puistojen ja rantojen tuhoaminen ja häiriköinti ärsyttää, kehoitan allekirjoittamaan. Muutenhan hyväksyt sen, että sinä ja lapsesi kävelette, makaatte ja uitte hanhenpaskassa tulevatkin vuodet.

Alla vielä koko aloitteen sisältö:

Kanadanhanhet ja valkoposkihanhet ovat vallanneet Rauman uimarannat, puistot, leikkipaikat ja urheilukentät. Hanhien ulosteet pilaavat rannat ja muut alueet käyttökelvottomiksi ja hanhien läsnäolo aiheuttaa vaaratilanteita etenkin lapsille (etenkin kun hanhilla on poikasia). Hanhia, joita on jokainen ranta ja puisto täynnä, ei voi pitää mitenkään uhanalaisina tai suojelua vaativina sen enempää, kuin rottia tai ampiaispesiäkään. 

Hanhet tulisi häätää ja/tai lopettaa kokonaan kaikilta Rauman uimarannoilta, puistoista, leikkipaikoilta ja urheilukentiltä. Hanhien häätöä/tappoa varten kaupungin tulisi hakea asiaan kuuluvat poikkeusluvat asianmukaisilta tahoilta ja toteuttaa häätö/kaato joka vuosi, jotta hanhet pysyisivät kokonaan poissa. 

Kaupungin on asetettava kaupunkilaisten viihtyvyys ja julkisten tilojen käytettävyys etusijalle - siitä kaupunkilaiset verovaroja maksavat, että nämä kaupungin alueet ovat HEIDÄN, eivätkä hanhien käytössä! Hanhille riittää tilaa muualla saaristossa ja sisämaassakin, kaupunkilaisille ei sen sijaan ole enempiä uimarantoja, puistoja, urheilukenttiä jne. käytettävissään!

1. kesäkuuta 2019

Sain vastauksen hallintokanteluuni gestaposta

Tein helmikuussa hallintokantelun poliisista, kun nämä pitivät tiliäni lukittuna vuosikaudet. Nyt tuli vastaus. Sysäävät syyn oikeusrekisterikeskuksen niskoille ja pahoittelevat mokaa. Niih. Eihän poliisi voi koskaan tehdä mitään väärin, vika on aina jossain muualla kuin poliisissa itsessään. Alla ko. paprut (klikkaa isommaksi).




24. toukokuuta 2019

Äärimmäisen vaarallista isoveli valvoo -touhua tulossa maksamiseen


Kuvahaun tulos haulle big brother 1984Kirjoittelin jo blogissani aiemmin lähimaksukorttien tietoturvaongelmista. Itse asiassa jo miltei vuosikymmen sitten. Mitään ei tietenkään kuunneltu ja nyt NFC on tullut laajamittaiseen käyttöön maksamisessa, kun sen käyttörajaakin on nostettu 50 euroon asti. NFC:llä voisi maksaa turvallisesti, jos NFC olisi matkapuhelimessa (fyysisen NFC:n sisältävän kortin sijaan) ja sen voisi siten kytkeä päälle vasta maksutilanteessa ja pitää poissa muutoin. Tällöin NFC olisi itse asiassa huomattavasti normaalia luottokorttia turvallisempi tapa maksaa, koska luottokortin voi varastaa taskusta, mutta pinkoodilla suojattua lukittua kännykkää ei saa auki sitten millään.


Törmäsin erittäin huolestuttavaan uutiseen liittyen maksamisiin. Näyttääkin siltä, että koko rumba NFC-kortteineen ja muineen onkin vain keino paitsi sitoa käyttäjät suuriin luottokorttifirmoihin ja pankkeihin, mutta mikä vielä pahempaa, antaa isoveli valvomaan koko touhua aivan ennennäkemättömällä tavalla: Maksamisesta kaikilla muilla kuin fyysisillä korteilla itsellään fyysisessä paikassa ollaan tekemässä vahvan tunnistautumisen vaativa tapahtuma - kyllä, myös nettimaksamisesta!!!

Tämä ei ole vitsi. Tämä on totista totta.

Jatkossa, kun maksat kaupan kassalla ostoksiasi esimerkiksi jollain maksusovelluksella, joudut suorittamaan vahvan sähköisen tunnistautumisen! Kyllä, kassajonossa! Tai, kun tilaat nettikaupasta vaikkapa tietokoneen osia itsellesi, sinun pitää suorittaa vahva tunnistaminen, vaikka maksaisit laskun suoraan tilisiirtona heti ostosta tehdessäsi! Ei, tämä ei ole vitsi. Tämä on totista totta.

Tällä on muutama massiivinen vaikutus:
  1. Ensinnäkin, tämä vahvistaa Visan ja Mastercardin kartellia Suomessa, kun muista kuin heidän fyysisillä korteillaan maksamisista tehdään todella hankala prosessi suorittaa. Markkinoilla voisi helposti olla kasapäin erilaisia palveluntarjoajia, jotka tarjoaisivat milloin mitäkin eri maksutapaa (nytkin on Google Pay, MobilePay, Masterpass, PayPal, Pivo, Apple Pay, Bitcoinit, jne.) ja kuluttaja voisi valita mieleisensä. Jatkossa tämä ei ole mahdollista, koska helppo maksaminen mobiilisti ja netissä loppuu kuin seinään, eikä esimerkiksi ulkomaisilla palveluntarjoajilla ole intressiä kehitellä maksamisiaan vahvaa sähköistä tunnistamista silmälläpitäen.
  2. Toiseksi, isoveli saa tietoonsa täten helposti kaikki missä käytät rahaa, koska aina pitää tunnistautua vahvasti ja tämä tieto voidaan sitten yhdistää ties mihin viranomaisrekisterihin - tietohan tunnistautumisesta menee aina viranomaisille. Viranomaisilla on myös tämän vuoden alusta lähtien täysi pääsy pankkitilien tietoihin. Aiemmin seuranta ei ollut yhtä helppoa, koska eri tapahtumat ovat olleet eri firmojen systeemeissä ja niistä on voinut osittain kieltäytyäkin (esim. olemalla ottamatta plussabonuskortteja), eikä pankkitilien sisältöä ole voitu seurailla viranomaisten toimesta helposti.
  3. Kolmanneksi ja vakavimmaksi: Ei ole mainintaa, tuleeko käteisellä maksaminenkin vahvan tunnistamisen taakse -eli tarkkaan viranomaistietoon joka ikinen kerta! Ei ehkä vielä tule kuitenkaan? Vai tuleeko? Mutta seuraavaksi tulee. Voitte olla 100% varmoja siitä. Tässä on tarkoituksena ajaa käteisen käytön kielto, eli tehdä KAIKESTA ostamisesta ja myymisestä sellaista, että se on täydellisesti viranomaisten kontrollissa! Ja jos olet "hankala tapaus", eli kuten esim. minä, joka "ajattelee väärin", niin tämmöisen henkilön KAIKKI OSTAMINEN, kyllä, myös ruoan, lääkkeen, jne. voidaan TÄYSIN ESTÄÄ yhdellä napinpainalluksella. Jos olet idiootti ja luotat, ettei hallitus tai viranomaiset moista tekisi, niin muista, että myös joku hakkeri voi sen tehdä lapsellisen helposti, kun systeemi on tämmöinen...ei tarvitse kuin tehdä "virhe" tuohon tunnistautumiseen tai häiritä sitä ja ostoksia ei voi maksaa mitenkään!!!
  4. Valtio voi alkaa rahastamaan tavallisia ihmisiä entistä enemmän, kun kaikki ostokset kirjaatuvat automaattisesti tunnistamisten kautta ylös. Et voi enää myydä esimerkiksi autoasi tai tehdä vaikkapa pientä remppahommaa ilman, että viranomainen saa siitä automaattisesti tietoa. Ja jos raha liikkuu, valtio alkaa vaatimaan veroja siitä. Verotus senkun vaan nousee ja nousee ja pienimuotoinenkin "veronkierto" tulee mahdottomaksi tavalliselle kansalle. Eliitti nyt ei tähänkään asti tietenkään veroja maksa, eikä heidän touhujaan syynätä, tietenkään!
Mitään järkeä tämmöisessä vahvan tunnistautumisen ajamisessa normaaliin ostamisiin ei tietenkään ole. Ai miksi ei ole?
  1. Luottokorteilla voi edelleen ostaa ilman tunnistautumista, eli varastettua luottokorttia voi väärinkäyttää kuten tähänkin asti, vahva tunnistautuminen ei estä tätä mitenkään. Luottokortin numeroilla voi myös tehdä itselleen vaikka fyysisen kortin ja käyttää sitä sekä kotimaassa kaikkialla, että ulkomaisissa nettikaupoissa aivan mielinmäärin, vahva tunnistauminen ei suojaa tätäkään mitenkään.
  2. Toisen ihmisen nimiin voi tilailla tavaraa edelleen laskuilla verkkokaupoista tai tehdä vaikka hotelli- ja lääkäriaikavarauksia jne, eli kiusantekoa ja petoksia vahva tunnistaminen ei estä millään muotoa.
  3. Kyseisissä sovelluksissa ja nettikaupoissa, joita tämä koskee, on asiakas jo tunnistettu aiemmin luotettavasti. Hän on siis oikea henkilö käyttämään kyseistä sovellusta tai nettikauppatiliä. Ja vaikka ei olisi, niin ks. kohta 2: Silti hänen nimissään voi tilata tuotteita laskulla jne. Tätäkään ei vahvan tunnistamisen vaatiminen korjaa mitenkään.
  4. Siinä missä sinun ja minun henkilöllisyys syynätään äärimmäisen tarkasti, niin maassamme on noin pyöreästi satatuhatta Ahmed Mehmediä, joiden todellisesta nimestä, tulomaasta ja täällä olosta ei ole, eikä tule olemaan, ikinä mitään tietoa. Päinvastoin, Ahmed Mehmedit voivat hakea vaikkapa yhden vahvan sähköisen tunnistamisjutun Suomesta, toisen Ruotsista eri nimellä, kolmannen Saksasta, neljännen Ranskasta, jne. He saavat juuri sen mukaisen identiteetin, minkä ovat kyseisen maan viranomaisille päästään keksineet. Heitäkään tämä valvonta ja oikeasti vahva tunnistautuminen ei tietenkään koske.
Tämä on todella huolestuttavaa kehitystä ja eipä ihme, että kuulen tästä vasta nyt ensimmäistä kertaa. Niin varmasti miltei jokainen suomalainen kuulee tästä vasta nyt ensimmäisen kerran. Tätä on huolella ja salassa valmisteltu, koska pelätään, että lampaat heräisivät ja suuttuisivat, kun tajuaisivat, millaiseen isovelivaltioon ollaan nyt kovaa vauhtia menossa.

Mutta turha on viranomaisten pelko. Ei tämä tyhmä kansa tajua, miten sitä jatkuvasti hivutetaan ja välillä otetaan jättiaskelia kohti täysin totalitaristista valtiota "porkkana ja keppi" taktiikalla. Ei tämä tyhmä kansa tajua silloinkaan, kun se on jo täysin pankkien ja viranomaisten orjuuttama. Ei sillä tosin ole siinä vaiheessa edes vaikutusta, koska siinä vaiheessa mitään ei voida enää tehdä ja kaikenlainen kapinointi tai systeemin muuttaminen on täysin mahdotonta. Ilmeisesti sitä tämä tyhmä kansa haluaakin. Sitä se on saamassakin.