14. marraskuuta 2019

Yleisimpien nettipalveluiden hakkerointi salasana resetoimalla

Tein sarjan hakkerointikokeita yleisiä ja turvallisina pidettyjä nettipalveluja vastaan. Kohteikseni valikoituivat Facebook, Google, Microsoft, Protonmail, Twitter ja Veikkaus. Katsoin, miten helppoa niihin olisi hakkeroitua - lakiteknisistä syistä omille tileilleni - käyttäen lapsellista keinoa:"Olen unohtanut salasanani." Tulos oli jäätävä. Vain Protonmail osasi suojautua tältä hyökkäykseltä täydellisesti ja Facebook ynnä Veikkaus jonkin verran tehokkaasti. Google, Microsoft ja Twitter eivät käytännössä lainkaan, ei, vaikka Googlessa tilillä, johon hyökkäykseni tein, on käytössä "Advanced Protection Program"!

Täsmennän vielä, että olen itse vääntänyt näissä palveluissa asetukset niin tiukoille kuin mahdollista. Olen siis, tietoisena ja asiaan perehtyneenä, tehnyt kaikki mahdolliset toimet minimoidakseni tätä riskiä ja huolehtiakseni tietoturvastani. Suurinosa peruskäyttäjistä ei osaa, eikä välitä tehdä näitä toimia, joten heidän tilinsä on vielä paljon suuremmassa vaarassa tämän tyyppistä hyökkäystä vastaan, kuin mitä minun tilini näissä kokeissa on. Tämä minun kokeeni osoittaa siis, miten parhaimmassakaan tilanteessa uhri ei ole juurikaan suojattu - ei suinkaan sitä, miten käsittämättömän heikosti suojattu keskimääräinen uhri on!

Itse tuloksiin:

Google, Microsoft ja Twitter antavat mahdollisuuden resetoida salasana ja poistaa kaikki 2-vaiheisen tunnistautumisen vaatimukset, kunhan tiedät jotain aivan yleisesti saatavilla olevia tietoja uhristasi ja pystyt kaappaamaan hänelle lähetetyn salasanojen resetointiin toimivan, salaamattoman sähköpostin (tai joissain tapauksissa tekstiviestin). Toisin sanoen, pelkästään se, että uhrillasi on koneellaan käytössä vaikkapa Thunderbird tai Outlook -sähköpostisovellus ja pääset sen äärelle alle minuutiksi, riittää uhrin ko. tilien kaappaamiseen...tai uhrisi jättää moisen palvelun hetkeksi auki ollessaan kirjautuneena siihen nettiselaimensa kautta...tai nappaat sähköpostin, kun se siirtyy selkokielisenä pitkin nettiä (esim. sähköpostioperaattorin palveluksessa oleva henkilö jne.)...tai vilkaiset uhrin puhelinta sopivalla hetkellä...tai teet sim-swap hyökkäyksen, jne. yms. vaihtoehtoja on monia. Tällöin saat ko. uhrin tilin salasanan resetoitua tuossa viestissä olevilla tiedoilla ja 2-vaiheisen kirjautumisenkin poistettua päältä ja voit kaikessa rauhassa tunkeutua kyseiseen nettipalveluun - sekä luonnollisesti estää uhriasi itseään kirjautumasta ko. palveluun enää ikinä! Huvittavinta on, että joskus resetointisähköposti on mahdollista tilata myös täysin vieraaseen sähköpostiin, siis hakkerin omaan, kunhan tarpeeksi ruikuttaa siitä, että ei pääse mukamas käyttämään oikeaa sähköpostiaan jostain syystä. Jäätävää.

Epäloogisuutta lisää se fakta, että kaikki nämä palvelut vaativat kirjautunutta käyttäjää kirjoittamaan salasanansa uudelleen, kun tämä tekee jotain "tärkeitä" toimia, esimerkiksi haluaa vaihtaa salasanaansa tms. Tällöin, jos hyökkääjä pääsee hetkeksi vaikkapa tietokoneelle, jossa uhri on kirjautuneena sisälle ko. palveluihin, ei hyökkääjä voi tätä kautta edetä ja kaapata tiliä mitenkään. Näin se pitääkin olla. Mutta samaa logiikkaa ja varovaisuutta ei noudateta salasanan palauttamisessa! Miksi hyökkääjä koettaisi muuttaa vaikkapa salasanaa sitä suoraan palvelussä sisällä kirjatuneena ollessaan, kun sen voi muuttaa menemällä sähköpostiboksiin ja klikkaamalla sieltä resetointilinkkiä? Aivan. Ketju on vain niin vahva kuin sen heikoin lenkki.

Google tarjoaa niin monta eri tapaa poistaa 2-vaiheinen tunnistautuminen ja resetoida salasana, että ihan hirvittää. Kyllä hakkeri noista jonkun tietää, arvaa tai murtaa. Mitä useampi tapa, sitä enemmän vuotokohtia. Ja miksi Google tarjoaa resetointimahdollisuutta esim. tekstiviestillä, kun kuitenkin "Advanced Protection Program" nimenomaan väittää, että KAIKKI kirjautumisetkin pitää varmistaa AINA fyysisellä avaimella (U2F)? Eihän tässä ole mitään järkeä, eikä logiikkaa, hakkeri kun menee siitä mistä aita on matalin! Helposti lähtee salasanan ja 2-vaiheisen resetointiviestit sähköpostiin tai tekstareina puhelimiin täältä.

Googlelta pystyi ainakin joskus lähetyttämään resetointiviestin myös sellaiseen sähköpostiin, jota uhrilla ei ole edes koskaan ollutkaan - eli suoraan hakkerin omaan sähköpostiin. Tämä onnistuu, jos osaa vastata riittävän moneen kysymykseen oikein ja ruikuttaa sitten, ettei muka pääse käyttämään tavanomaista sähköpostiaan. Naurettavaa. Luultavasti tämä onnistu yhä, mutta loputtomien vaihtoehtojen lomassa en siihen asti päässyt tällä kertaa (aiemmin tein ko. kokeen).

Epäloogisuuden huipentuma on minusta Microsoft, jonka tileihin on olemassa "Recovery Code", joka pitää syöttää. Niinhän se pitäisi ollakin, että jokaisella palvelulla olisi oma "Recovery Code", joka esimerkiksi kerrotaan vain kerran ko. tiliä perustettaessa ja jolla tilin saa myöhemmin palautettua itselleen. (Tämmöistähän minä ehdotin käytettäväksi kaikissa palveluissa jo yli 10 vuotta sitten!) Loistavaa! Juuri näin! Mutta...mikä tässä on epäloogisuuden huipentuma Microsoftin osalta? No se, että Microsoft kyllä kysyy ko. "Recovery Code", mutta jos sitä ei ole antaa, niin Microsoft suostuu SILTI resetoimaan ko. tilin tunnistetautumistiedot!!! Aivan käsittämätöntä idiotismia!

Microsoft tarjoaa Googlen tavoin niin monta eri tapaa poistaa 2-vaiheinen resetointi ja salasana, että ihan hirvittää. Taas kerran totean: Mitä useampi tämmöinen mahdollisuus, sitä useampi aukko, jota hakkeri voi käyttää hyväkseen. Typerää toimintaa tämäkin Microsoftilta!

Microsoftiltakin on joskus pystynyt lähetyttämään resetointiviestin myös sellaiseen sähköpostiosoitteeseen, jota uhrilla ei ole koskaan edes ollut. Tällä kertaa en siinä onnistunut kuitenkaan, ehkä tämä aukko on korjattu tai sitten en vain löytänyt sitä tällä kertaa. Huolestuttavaa kyllä sekin tieto, että noin on voitu aiemmin toimia!

Microsoftin toiminta myös naurattaa melkoisesti: Kaikista näistä palveluntarjoajista vain ja ainoastaan Microsoft tarjoaa Fido2-tunnistautumista palveluunsa, joka on siis turvallisin mahdollisin tunnistautumismenetelmä, mitä olemassa on. Mutta silti, sama Microsoft mahdollistaa sen(kin) turvallisuusmenetelmän kiertämisen lapsellisen helposti tilin salasanan palauttamisen kautta!!! Ei tälle voi kuin nauraa!

Microsoft toimii pähkähullusti myöskin sikäli, että se tarjoaa mahdollisuutta siihen, että käyttäjä voi heti salasanan resetoinnin jälkeen kirjautua sisälle uudella salasanallaan (jonka voi luoda saadusta resetointisähköpostista) tietokoneisiin, jotka ovat ko. Microsoftin tiliin liitetty, vaikka muutoin seuraakin 30 vuorokauden odottelujakso tietoturvasyistä. Microsoft lukitsee siis kaikkein hyödyttömimmät ja tietoturvan- ja tietosuojan kannalta epäolennaisemmat palvelunsa salasanaresetin jälkeen, mutta ei kaikkein tärkeintä ja uhanalaisinta systeemiä: Itse tietokoneisiin kirjautumisia! Aivan pähkähullua. Järjetöntä.

Twitterinkin toiminta naurattaa: Twitteristä voi asetuksista laittaa päälle option, jossa käyttäjältä varmistetaan henkilökohtaisia tietoja ennen, kuin salasanaa suostutaan resetoimaan. Nämä "henkilökohtaiset tiedot" ovat sähköposti, käyttäjätunnus ja puhelinnumero - eli kenen tahansa kenestä tahansa melko helposti saatavilla olevia tietoja! Uskomatonta pelleilyä. Noin helpolla lähtee salasanan ja 2-vaiheisen kirjautumisen resetointiviesti uhrin sähköpostiin (tai joissain tapauksissa tekstiviestinä tai sähköpostiosoitteeseen, jota uhrilla ei ole koskaan ollutkaan).

Facebookissa asia on paremmalla tolalla: Se paitsi lähettää sähköpostin salattuna palvelimelta palvelimelle (jos tämä tukee sitä), niin mahdollistaa myös sähköpostin sisällön salaamisen käyttäjän omalla PGP-avaimella. Tällöin hyökkääjä, joka pääsee urkkimaan sähköpostipalvelinten välistä liikennettä, ei voi saada selkokielistä resetointilinkkiä mitenkään. Vaikka hyökkääjä pääsisi lukemaan uhrinsa sähköpostiboksia, hän ei siltikään saisi resetointilinkkiä, koska se olisi vielä salattu uhrin PGP-avaimella (jota hyökkääjällä tuskin on). Tämä on hyvä juttu. Todella on hyvä ja kuitenkin kohtuullisen simppeli, mutta Facebookin käyttäjän pitää itse tajuta ottaa se käyttöönsä.

Facebook ei anna armoa, eikä kuuntele selityksiä: Jos hakkeri yrittää selittää, ettei voi käyttää palauttamisen sähköpostiosoitettasi, homma tyssää siihen. Toisin sanoen, et voi valita jotain muuta palauttamisvaihtoehtoa tai saada palautuskoodeja vaikkapa johonkin aivan toiseen sähköpostiin. Ja jos koetat palauttaa ne oikeaan sähköpostiin, ne menevät sinne todellakin salattuina ja vieläpä sen päälle luultavasti PGP:llä salattuina.

Veikkaus ei mahdollista salasanan resetointia kuin pankkitunnuksilla. Tämä on erittäin hyvä asia ja vahva suojauskeino. Toisaalta, salasanan palauttaminen ON silti aina olemassa, sitä ei voi kytkeä pois päältä. Lisäksi Veikkaus ei tuo millään muotoa mitään 2-vaiheista tunnistautumista, ei edes tekstiviestiä, Fido2 nyt puhumattakaan, joten isot miinuspisteet tästä puutteesta tietoturvan osalta: Uhrin salasanan kaapannut voi rauhassa kirjautua Veikkauksen palveluihin tekemään mitä lystää, koska 2-vaiheinen tunnistauminen puuttuu kokonaan. Ei näin!

Protonmailissa asia on juuri, kuten sen pitäisikin olla: Tilin palautus on optio, joka pitää kytkeä itse päälle - se ei ole oletuksena päällä lainkaan. Jos unohdat salasanasi, tilisi on mennyttä ja sillä hyvä. Protonmail ei myöskään kerro hakkerille, onko sinulla tilin palautus päällä vaiko ei, joten tämä saattaa tuhlata paljonkin aikaansa sitä kaivellaakseen - turhaan. Siinäkin tapauksessa, että tilin palautus olisi kytkettynä päälle, tilin palautus tuhoaa kaikki sähköpostit ko. tililtä, koska niiden salausavain on tällöin myös tuhoutunut. Loistava juttu. Isot pisteet tästä! Näin tämän kuuluu olla. Pieni miinus toki Protonmailillekin muutoin tietoturvasta siitä syystä, että 2-vaiheisista tunnistautumismuodoista se tukee vain TOTP:ia.

Sivuhuomautus:

Monessa näistä palveluista on valittavana erilaisia 2-vaiheisen kirjautumisen muotoja, esim. (turvallisuusjärjestyksessä) tekstiviesti, sähköpostivarmennus, TOTP, U2F ja Fido2. Umpihulluksi asian tekee se, että monessa näistä palveluista on pakko käyttää kahta ERI 2-vaiheista kirjautumista, esim. tekstiviestiä ja U2F:ää. Mikä järki tässä on? Ei mikään. Miksi hyökkääjä edes yrittäisi murtaa vahvaa U2F:ää, kun hän voi paljon helpommalla kaapata tekstiviestin? Niih. Tässäkin asian pitäisi olla niin, että käyttäjä voi täysin itse päättää täysin, mitä 2-vaiheisen tunnistamisen muotoja hän käyttää ja olla käyttämättä kaikkia muita, sekä tietenkin estää 2-vaiheisen tunnistamisen kiertämisen millään muotoa. Eihän koko touhussa ole muuten mitään järkeä: Hyökkääjä menee sisään siitä, missä on heikoin lenkki. Yleensä se on koko turvajuttujen ohittaminen salasana resetoimalla - ja 2-vaiheisen osalta heikoimman 2-vaiheisen turvamenetelmän käyttäminen/hakkerointi (jos sitä ei haluta tai tarvitse resetoida samalla salasanan kanssa).

Suositukseni parannuksiksi:
  1. Nettipalveluiden pitäisi ottaa käyttöön "Recovery Code", joka tarjottaisiin käyttäjälle vain ja ainoastaan tilin perustamisvaiheessa ja jolla - ja vain ainoastaan sillä - voisi resetoida kaikki salasanat, tunnistautuneet laitteet, 2-vaiheisen tunnistuksen systeemit ja muut. Näin estettäisiin tilien kaappaus varastetuilla salasanoilla ja muilla, sekä estettäisiin tilin turvallisuustietojen resetointi hakkerien toimesta. (Tämmöistähän minä ehdotin käytettäväksi kaikissa palveluissa jo yli 10 vuotta sitten!)
  2. Nettipalveluiden pitäisi toteuttaa "Recovery Code" käyttö siten, että käyttäjä saisi salasanan unohdettuaan sähköpostiinsa ilmoituksen ja linkin (voimassa esim. 10min), jonne tuo "Recovery Code" syötetään. Näin estetään se, että hyökkääjä, joka on saanut "Recovery Code" varastettua itselleen, ei voi sitä käyttää itsessään, koska hänellä pitää olla myös pääsy uhrin sähköpostiin! Tämä yhdistelmä toisi huomattavaa lisäturvallisuutta. Ei olisi toki pahasta toimia kuten Facebook, eli tarjota mahdollisuutta tämän linkinkin kryptaamiseen käyttäjän PGP-avaimella lisäturvallisuuden saavuttamiseksi.
  3. Nettipalveluiden pitäisi sallia vaihtoehtoina se, ettei tiliä voi palauttaa, jos valitut tunnistetiedot (salasana, 2-vaiheinen tunnistus jne.) hukkuvat. Tämä mahdollistaisi suurimman mahdollisen tietoturvan niille, jotka sitä haluavat ja jotka pitävät hyvää huolta noista tunnistautumisvälineistään. Tämä vaihtoehto pitäisi olla oletuksena päällä, koska käyttäjät ovat idiootteja, eivätkä kuitenkaan välitä sitä itse laittaa päälle.
  4. Nettipalveluiden pitäisi sallia erilaisia 2-vaiheisen tunnistautumisen muotoja ja antaa asiakkaan määritellä tarkasti, mitä niistä hän haluaa ylipäätään käyttää, eikä pakottaa mihinkään tiettyyn menetelmään. Näin käyttäjä voisi olla halutessaan käyttämättä turvattomia menetelmiä ja estää siten niiden käyttämisen hänen tilin kaappaamiseenkin. Niin ja sanomattakin on selvää, että nettipalveluiden pitäisi kaikkien tukea vähintään U2F ja mieluiten Fido2 2-vaiheista kirjautumista!
  5. Ymmärrettäisiin, että vaikka yleensä vika on tyhmissä käyttäjissä ja huonoissa salasanoissa, aina ei näin ole asian laita. Usein vika on palveluntarjoajassa, joka ei ymmärrä, tai välitä, tietoturvasta yhtään mitään.


PS. Kuvankaappaukset testien etenemisistä voitte katsoa täältä.Samalla ymmärrätte ehkä paremmin, mitä missäkin kohdassa tarkoitan.

6. marraskuuta 2019

Facebook estää kirjoitteluni - eikä edes väitä sääntöjä rikotun!

Facebook on jatkanut minun sensurointiani uudenlaisella tavalla. Olen shadowbännissä. En voi postata mitään, koska postaukseni mukamas rikkoo yhteisönormeja. Postaukseni mukamas rikkoo yhteisönormeja, vaikka siinä olisi vain hymiö, kirjain "A" tai mitä tahansa muuta. Myös jokainen tykkäykseni rikkoo yhteisönormeja, enkä voi tykätä mistään. Niin ikään jokainen yksityisviestini rikkoo yhteisönormeja, enkä voi lähettää viestejä enkä vastata niihin.

Yksi olennainen ero aiemmin tapahtuneisiin sensurointeihin on se, että en ole saanut mitään ilmoitusta enkä tukikeskuksen viestiä, jossa olisi väitetty, että olisin nyttemmin rikkonut yhteisönormeja, eli että jokin aiempi kirjoitukseni olisi sen vuoksi esimerkiksi poistettu tms. Mitään ilmoitusta mistään rikkomuksista ei ole tullut missään vaiheessa, eikä mitään rikkomusta ole esittää koko tämän profiilini käyttöajalta.

Toinen olennainen ero on, että esto tulee jo heti kun koetan kirjoittaa jotain, eli siis ikäänkuin nyt julkaisemassani viestissä olisi jotain yhteisönormeja rikkovaa, jonka Facebookin tekoäly nappaisi kiinni tms.. Kukaan ei ole voinut ko. viestiä edes ilmiantaa mihinkään, koska sitä ei ole edes koskaan yleisön ilmoilla päätynyt.

Kannattaa muistaa, että jos minut olisi laitettu normaaliin "bänniin", niin silloin, kun koetan julkaista, tulisi ilmoitus siitä, että bänni on voimassa siihen ja siihen asti ja sinä aikana en voi postata mitään. Nythän näin ei ole. Ei ole mitään ilmoitusta voimassaolevasta bännistä, eikä siitä, että se joskus loppuisi, eikä siitä, mistä moinen bänni olisi alunperin edes peräisin.

Tämä alkoi 24.10. ja loppui 27.10, mutta alkoi uudelleen 29.10. ja jatkuu yhä, ks. alla olevat kuvankaappaukset.

Surkuhupaisinta tässä on, etten todellakaan käytä Facebookkia mihinkään muuhun, kuin CFS/ME/SEID-vertaistukiryhmän ylläpitoon. Kyseistä ylläpitoa varten minulla on sitten toki erilaisia varaprofiileita olemassa, joita käyttelen VPN-yhteyksien läpi jne. joita ei voi minuun yhdistää mitenkään itse Facebookkikaan. Näin ollen tämä shadowbänni ei siis käytännössä edes estä minulta yhtään mitään. Ainoastaan sen, etten voi pitää omaa naamaani tuolla ja omalla naamallani toimia tuossa perustamassani, Suomen suurimmassa CFS/ME/SEID-tukiryhmässä.

Mitään syytä käyttää Facebookkia ei minulla olisikaan, jollei olisi tuota tukiryhmää. Ihmiset ovat vain valitettavan takertuneita Facebookkiin, eivätkä osaa ja halua käyttää parempia palveluita erilaisten yhteisöjen toimittamiseksi. Toki, etenkin kun kyseessä ovat vakavasti sairaat ihmiset, se on ihan ymmärrettävääkin, ettei jaksa hakea muualta parempia palveluita kuin Facebook. Säälittää vaan tämä tilanne heidän osaltaan, parempi olisi toimia omalla naamalla jne. siellä, CFS/ME/SEID-potilaat kun ovat Suomessa pahasti heitteillä jo muutenkin.

Toivottavasti joku Facebookin suomalainen moderaattori, joka on tämän tempauksen takana, saa nyt hyvät naurut ja mielihyvät siitä, että vaikeuttaa vakavasti sairaiden ihmisten vertaistukiryhmän toimintaa omalla henkilökohtaisella vittuilullaan. Tavallaan tuossa kulminoituukin juuri näiden suvakkien ajatusmaailma ja käsitys sananvapaudesta: Pääasia on, että eri mieltä olevat vaiennetaan ja heiltä evätään kaikki muiden käyttämät palvelut, seurauksilla, yhdenvertaisuudessa jne. ei ole mitään väliä. Sitten samat suvakit itse itkevät, jos heitä sensuroidaan joissain, aika jännää, että suvakki, joka ei kannata sananvapautta rutisee, kun hänenkään sananvapauttaan ei kannateta. :p

 

PS. Idiooteille tiedoksi noin tuhannennen kerran:
Facebook ei ole yksityishenkilö, eikä Facebook ole kenenkään yksittäisen ihmisen yksityistä omaisuutta, vaan se on julkisyhteisöllinen palvelu, jolla on sitä kautta tiettyjä velvoitteita ihmisiä ja asiakkaitaankin kohtaan, tämä on jo teidän suuresti kunnioittamien oikeusistuintenkin taholta lukuisia kertoja varmistettu asia. On siis täysin eri asia puhua siitä, että yksityishenkilö ei omassa tilassaan (esim. kotonaan, nettisivullaan, tms.) halua kuunnella jonkun ääliön ulinaa...jos olet eri mieltä, kerro missä asut niin tulen kyllä kotiisi paasaamaan sinulle 24/7.

4. marraskuuta 2019

Mobiilivarmenteen tietoturvaan tulossa vakavia heikennyksiä


Mobiilivarmenne on näppärä ja varsin turvallinen tapa tunnistaa henkilö vahvasti ja sähköisesti. Asiakas tunnistetaan pankkitunnusten avulla ja varmenne aktivoidaan asiakkaan nimissä olevaan puhelinliittymään operaattorin nettisivujen kautta. Identiteettivarkaalle tämmöisen turvallisuusrenkaan ohittaminen on täysin ylivoimainen tehtävä, koska hänen pitäisi saada sekä uhrin pankkitunnukset, että myös operaattorin sivuille tunnukset ja vieläpä puhelimen sim-kortti varastettua uhriltaan. Lisäksi mobiilivarmenteen käyttö puhelimessa on pakollisen pin-koodin takana, joten vaikka hyökkääjä saisi uhrin avonaisen puhelimen tai sim-kortin haltuunsa, hän ei voi käyttää mobiilivarmennetta ilman sen pin-koodia. Pin-koodi kysytään aina jokaisella tunnistuskerralla erikseen.

Toisin oli ennen, kun mobiilivarmenteen sai puhelimeensa operaattorin tiskiltä ties minkämoista "henkilötodistusta" vilauttamalla. Esimerkiksi etenkin "500v kotoutumista takana" -ryhmän jäsenet ovat tiettävästi onnistuneesti aktivoineet itselleen toisten ihmisten mobiilivarmenteita operaattorien tiskille marssimalla ja tämän jälkeen ottaneet esim. lainoja ja tilanneet tavaraa uhrin nimiin rajattomasti. Ehkä tiskin luona aktivointia on myös edesauttanut pelko siitä, että jos tiskin takana oleva myyjä ei aktivoi mobiilivarmennetta tai epäilee, ettei aktivoija ole se, kuka väittää olevansa, voi myyjä saada morapuukosta osumaa... Uhrin on ollut vaikea todistaa olevansa identiteettivarkauden uhri, koska ostokset on tehty "vahvaa tunnistamista käyttäen", eivätkä viranomaiset ja oikeusistuimet ole tajunneet, että "vahva tunnistaminen" on vain yhtä vahva kuin sen heikoin lenkki on. Tilanne siis onneksi parantui, kun mobiilivarmenteen saamisen ehtoja kiristettiin.

Nyt kuitenkin mobiilivarmenne on ottamassa ratkaisevaa askelta TAAKSEPÄIN tietoturvassa! Jatkossa mobiilivarmenteen voi itse aktivoida henkilökortilla tai passilla ja puhelimessa olevaa mobiilivarmennetta käyttää kasvokuvalla tai sormenjäljellä!

Miksi mobiilivarmenteen aktivointi henkilökortilla tai passilla on sitten huono ajatus?
- Mikäli kriminaali varastaa esim. käsilaukun, sieltä saa yleensä sitten sekä puhelimen, että myös sen aktivointiin tarvittavan henkilökortinkin!
- Koska aktivointiin ei enää vaadita toista vahvaa tunnistautumista (verkkopankki ja vielä operaattorin sivuilla), ei tietenkään kriminaalinkaan tarvitse niitä uhrinsa puolesta tehdä ja aktivointi on lapsellisen helppoa.

Miksi mobiilivarmenteen käyttö ilman pin-koodia, eli kasvokuvalla tai sormenjäljellä on huono ajatus?
- Kasvokuvat ja sormenjäljet ovat biometrisiä tunnisteita, jotka on lapsellisen helppo kaapata mistä tahansa...pin-koodia ei kukaan voi kaapata pääkoppasi sisältä mitenkään.
- Puhelinten kasvontunnistukset ovat tunnetusti epäturvallisia ja mahdollistavat luurien avaamisen esim. kasvoista tulostetulla kuvalla...tai "vaikeissa" tapauksissa jonkinlaisen simuloidun kuvan avulla.
- Puhelinten sormenjälkienlukijat ovat tunnetusti epäturvallisia ja sormenjälkilukijoita on voitu huiputtaa esimerkiksi lastenkin toimesta nallekarkeilla...tai "vaikeissa" tapauksissa pitää 3D-tulostaa henkilön sormenjäljen omaava vahasormi tms.
- Varastetun puhelimen/mobiilivarmenteen käyttö on siis kriminaalille varsin helppoa, itse asiassa esimerkiksi puolisot ja lapset voivat käyttää vaikkapa nukkuvan puolisonsa naamaa tai sormenjälkeäkin mobiilivarmenteen avaamiseen.

Ei hyvää päivää. Ihmisten tunnistamista kiristetään kaiken aikaa ja kaikenlaisesta ostamisesta ilman tunnistautumista tehdään yhä vaikeampaa. Samalla kuitenkin identiteettivarkaudesta tehdään radikaalisti helpompaa. Yhdistelmä vahvaa tunnistautumista ja siinä kusettamisen helpottamista ajaa myös uhrit entistä ahtaammalle, koska on kerran käytetty "vahvaa tunnistusta", ei mikään taho tahdo uskoa, että kyseistä systeemiä onkin kusetettu ja uhri on uhri, eikä tekojen (esim. lainat jne.) ostaja. Aiemmin, kun vahvaa tunnistautumista ei käytetty, oli uhri vahvemmilla kiistäessään hänen nimissään tehtyjä asioita.

1. lokakuuta 2019

Helsingin hovioikeus palautti järjestyssakkoasian käräjäoikeuteen

On tämä uskomatonta pelleilyä. Mitja Korjakoff määräsi minulle 1000€ järjestyssakon, koska minä nauhoitin salaa Ilja Janitskin oikeudenkäynnin pari päivää. Valitin asiasta hovioikeuteen, koska järjestyssakko on ilmeisen laiton, eikä kenellekään ole koskaan Suomessa moista annettu moisesta, tietenkään, koska oikeusoppineidenkaan mukaan moista ei edes voi antaa. Eli Korjakoff taas sooloilee jotain aivan käsittämätöntä.

Helsingin hovioikeus kiinnitti huomionsa muotoseikkaan: Koska Ilja Janitskin oikeudenkäyntiä veti käräjäoikeudessa kolme tuomaria ja järjestyssakon kirjoitti vain yksi näistä tuomareista (Mitja Korjakoff), kyseessä on merkittävä ns. protokollavirhe ja järjestyssakko on sellaisenaan viraton/mitätön. Eli Korjakoff taas sooloilee jotain aivan käsittämätöntä.

Tällä perusteella Helsingin hovioikeus palautti ko. järjestyssakon takaisin Helsingin käräjäoikeuteen uudelleen käsiteltäväksi, ilmeisesti siinä toivossa, että Korjakoff saa kaksi hitusen selkopäisemmän oloista tuomarikaveriaan kanssa allekirjoittamaan sen. Jos ja kun näin tapahtuu, alkaa koko rumba taas alusta ja päätyy taas Helsingin hovioikeuteen ja ehkä KKO:hon asti, kunnes ehkä vuoden-parin päästä saamme lopullisen päätöksen asiasta.

Helsingin hovioikeus olisi voinut myöskin mitätöidä ko. sakon yllä olevalla perusteella, mutta sitä se ei tehnyt.

Helsingin hovioikeus olisi voinut käsitellä ko. sakon ja hylätä sen minun perusteluillani, mutta sitä se ei tehnyt.

Jokainen voi miettiä, paljonko tässä on jo kulunut viranomaisten kallisarvoista aikaa ja minun vaivaani ja onko koko homma oikeasti tämän väärtti?

Vitsivitsi, tietenkin homma on tämän väärtti! Vaikka minun tai kenen tahansa muun kansallismielisen oikeusmurhaaminen vaatisi miten paljon verovarojen tuhlausta ja viranomaisten ajan haaskausta, se on 99,99% kansasta ja 100% viranomaisista sen arvoista. Yksikään sekunti, jonka viranomainen käyttää kansallismielisten oikeusmurhaamiseen, ei ole hukkaan heitettyä, jos heiltä kysytään. Jokaista viranomaisen ilmiselvää oikeusmurhaa tai ammattitaidottomuudesta johtuvaa mokaa paikkaamaan ollaan niin ikään valmiita käyttämään täysin rajattomasti resursseja, jotta vaan saadaan "julkisuuteen sopiva" tuomio langetettua kansallismieliselle. Pitää olla aika pihalla tämän maan menosta, jos ei tätä jo vähitellen tajua.

En hetkeäkään usko, että ko. järjestyssakkoani tullaan kumoamaan. Minä tulen sen saamaan maksettavakseni ja vain ja ainoastaan minä - kukaan muu koko Suomessa ei voi oikeudenkäyntien salaa nauhoittamisesta järjestyssakkoa saada, sen ovat jo oikeusoppineet meille kertoneet (ks. valitukseni) - mutta Markus Jansson kyllä sen voi saada ja siten saa. Näin tämä menee. Aina.



Alla ko. paperit:


PS. Pitänee väsätä Mitja Korjakoffista valitusta tuosta hyvästä, ettei osaa edes järjestyssakkoa kirjoittaa protokollien mukaan. Mutta jokainenhan meistä jo tietää, ettei se tule johtamaan yhtään mihinkään.