13. huhtikuuta 2014

Tietoturva ja yksityisyydensuoja helpoksi paketiksi?

Tuli tässä mieleeni, kun erilaisia seurantamenetelmiä tiedän ja tajuan laajalti tietoturvasta, että voisin ehkä joskus ryhtyä puuhaamaan sellaisen jutun parissa, johon monilla olisi valtavasti tarvetta, mutta oma osaaminen puuttuu: Tietoturva ja yksityisyys tietokoneen, verkkoliikenteen ja viestinnän suhteen, "all-in-one" paketissa! Harva ylipäätään hallitsee kunnolla suojautumisensa ja tekee pahoja virheitä, joita taitavat viranomaisetkin voivat käyttää hyväkseen. Monet tietoturvapalvelut ovat yleensä monimutkaisia käyttää ja kokonaisuuden hallintä jää helposti puutteelliseksi, joten moni ei edes viitsi yrittää suojautua, vaan luovuttaa heti kättelyssä. Nyt, kun sananvapautta ja yksilönvapautta ylipäätään kiristetään koko ajan, Suomenkin muuttuessa entistä totalistaristisemmaksi valtioksi, tarve tämmöisille palveluille senkun kasvaa.

Ajattelin, että voisin esimerkiksi tehdä simppelin muistitikulta tai muistikortilta käynnistyvän paketin, vähän NinjaStik-systeemin tapaan. Olen tuota NinjaStikiä kokeillut ja perusjuttu on oikein hyvä ja riittää tavalliselle pulliaiselle enemmän kuin tarpeeksi, vaikka sen toteutus vähän tökkii eikä koko systeemi ole ihan viimeisen päälle hiottu. Minä voisin tehdä jokaisen muistitikun osittain käsityönä, jotta olisi varmaa, että se olisi viimeisen päälle mm. päivitetty ja salausavaimet olisivat siinä erit kuin muissa. Pakettiin kuuluisi luotettava, tietoturvallinen VPN-palvelu yhdistettynä Tor-verkon käyttöön, sähköpostipalvelu otettuna asiakkaan puolesta, salasanojen luonti- ja hallintaohjelmisto muita tarkoituksia varten, asiakkaalle luodut GPG-avaimet sun muut hommelit, eli, että koko paketti olisi täysin käyttövalmis heti asiakkaan käyttöä varten. Homman juoni olisi nimenomaan se, että se olisi viimeisen päälle hiottu, luotettava, täysin käyttövalmis kaikilta osiltaan ja kaikki toimisi suomeksi. Siis oikeasti totaalinen suoja helposti ja kätevästi.

Tietoturvaa voisi vielä hioa esimerkiksi ottamalla käyttöön Yubikeyn kaltaisen härvelin, joka lisäisi levynsalauksen vahvuutta omalla salasanallaan ja muilla keinoilla, sekä antaisi lisäsuojaa ns. rautapohjaisia keyloggereita vastaan. Älykortti olisi toki parempi, mutta se vaatisi yhteensopivan kortinlukijan jne. joita harvassa tietokoneessa on. Tuollaisessa härpäkkeessä olisi myös se hyvä puoli, että jos henkilö uhkaa joutua vaikkapa kiristyksen kohteeksi tai kidutettavaksi tms. niin hänen tarvitsee vain tuhota tuo härpäke niin kukaan, mukaan lukien hän itse, ei voisi mitenkään päästä ikinä käsiksi mihinkään hänen tietoihinsa vaikka hän miten haluaisikin. Se toisi tarvittavaa lisäturvaa monelle, kun turvallisuus ei olisi vain oman salasanan takana.

Tavalliset ihmiset tuskin tarvitsevat tämmöistä palvelua, heille riittää hyvin esimerkiksi NinjaStik ja sen tarjoama suoja tai perustietoturvaosaamisen hallitseminen. Sen sijaan esimerkiksi liikemiehet, sananvapaustaistelijat ja erilaiset vastarintaliikkeet varmasti tarvitsisivat. Nämä ovat sellaisia tahoja, joilla ei yleensä ole aikaa, intoa tai kykyä ryhtyä itse ratkomaan tietoturva- ja tietosuojaongelmiaan, mutta selkeä tarve niiden ratkaisemiseksi kuitenkin olisi. Koska palvelu tehtäisiin käsityönä, hintakin olisi tietysti vähän tyyriimpi, mutta voisihan tuosta tehdä perussetin joka olisi halvempikin eikä sisältäisi kuin sen muistitikun jne. tms.

Miltä kuulostaa, voisiko tuossa olla pientä bisnesideaa? Viranomaisia tuollainen ainakin vituttaisi ihan mielipuolisesti, koska se takaisi miltei täyden tietoturvan heitä vastaan ihan kenelle tahansa, joka ei edes ymmärrä tietokoneista, netistä eikä tietoturvasta yhtään mitään. Toki jo pelkästään Suomen viranomaisille siitä aiheutuva huoli ja vitutus olisi enemmän kuin tarpeeksi hyvä syy tehdä tuollainen systeemi.



PS. Fobballe tiedoksi, että turha on ryhtyä mun kotitietokonettani, puhelintani tai muuta vastaavaa näpertämään, takavarikoimaan tai salakuuntelemaan tämän vuoksi. No, se voi toki tuottaa jo melkoisia ongelmiakin Gestapollenne, heh, mutta ei kannata haaskata verovaroja siihen puuhaan. Tuollaiset systeemit ja yhteydenpito niitä koskien tehtäisiin ihan toisilla härveleillä ihan toisissa ympäristöissä, ettekä te voi niille yhtään mitään (kuten hyvin itsekin tiedätte).

6 kommenttia:

Anonyymi kirjoitti...

Tämä on hyvä idea! Itsekin olen tuota luovuttaja porukkaa kun aika ei tahdo riittää kaikkeen perehtymiseen. Mihin hintaan sitten olit ajatellut tällaista palvelua tarjota?

Markus Jansson kirjoitti...

Mahdotonta sanoa hintaa. Priima ei tuppaa tietenkään olemaan halpaa. :-(

Toisaalta, sen minkä tuollaiseen systeemiin kuluttaisi rahana, säästäisi uuden tietokoneen ostamisesta jne. koska tuollainen systeemi pyörisi vanhallakin tietokoneella oikein hyvin. Puhumattakaan, että päivitystarvetta ei oikeastaan olisi pitkään pitkään aikaan. Siinä mielessä rahaa säästyy myös käyttökustannuksista, kun ei tarvitse ostella kalliita lisenssejä tai tapella kaikenlaisen toimimattoman crapwaren kanssa jota tietokoneissa tuppaa jo oletuksenakin olemaan.

jaska kirjoitti...

"Minä voisin tehdä jokaisen muistitikun osittain käsityönä, jotta olisi varmaa, että se olisi viimeisen päälle mm. päivitetty ja salausavaimet olisivat siinä erit kuin muissa."

Mielestäni olisi parempi, että tarjoaisit vakiopaketia, jonka ehjyyden voisi myös varmistaa. Vakiopaketin kelvollisuuden voisi tarkastaa myös ulkopuolinen osapuoli, ettei tarvitse pelätä, että sinä olisit ujuttanut takaporttia systeemiin. Lisäksi jollain tarkistussummalla voisi varmistaa, ettei systeemiä ole käpälöity jossain välissä sinulta asiakkaalle.

Markus Jansson kirjoitti...

Tuo ei liene kannattavaa. Tuota varten on jo Ninjastik olemassa. Lisäksi minun on mahdotonta tehdä systeemiä, jossa on vaikkapa VPN-palvelu ja sähköposti integroituna identiteetillä, jonka paljastan kaikille - ja toisaalta, jos tekijä ei luota minun tekoseeni, ei hän voi luottaa siihenkään, että en ole ottanut varmuuskopiota VPN-palvelun ja sähköpostin käyttäjätunnuksista ja salasanoista. Lisäksi levynsalausavain pitää joka tapauksessa olla uniikki kaikissa, joten sitä ei voi paljastaa ja tässäkin taas tule kyse luottamuksesta minua kohtaan.

Jokainen voisi tietenkin vaihtaa nuo kaikki itse halutessaan toisiksi tai ottaa kokonaan omansa, mutta sitten tämmöisen palvelun tarjoamisen hyöty katoaisi minusta kokonaan. Ideana olisi nimenomaan tehdä uniikkeja systeemejä niitä tarvitseville tietokonetumpeloille. :-)

Anonyymi kirjoitti...

ilman muuta hyvä.

miten meinasit ostotapahtuman suorittaa ilman että saat tietojamme? ja pitää verottajan tyytyväisenä?

Markus Jansson kirjoitti...

Maksu varmaankin Bitcoineina. Jos niitä ei ole, voi niitä samalla ostaa näppärästi vaikka bittiraha.fi palvelusta. Ei siitä minulle tule mitään tietoakaan edes ostajasta. Verottaja ja sen haluamiset ei minua kiinnosta pätkän vertaa. :-)