12. joulukuuta 2014

Ihme kyttäämistä ja estoja

Olen kiinnittänyt huomiota täysin uuteen ilmiöön internetissä. Ilmiöön, jota ei ainakaan vielä muutama vuosi sitten ollut, mutta joka on nyt äkkiä levinnyt ihan kaikkialle nettiin. Sähköpostipalveluita ja muita netissä tarjolla olevia systeemeitä ei kerta kaikkiaan tahdo päästä käyttämään, jos et anna toimivaa puhelinnumeroasi ja tarjoa hopeavadilla aitoa ip-osoitettasi!

Kuin äkkiä kaikki netissä palveluita tarjoavat tahot olisivat taikaiskusta kaikki ottaneet käyttöön aivan saman kaavan. Henkilö kerta kaikkiaan PITÄÄ pystyä jäljittämään ja identifioimaan tai palvelua ei tipu käyttöön. Ei sitten mitenkään. Ei kerta kaikkiaan mitenkään. Mitä helvettiä tämä oikeasti tarkoittaa ja miksi tämmöiseen touhuun on äkkiä menty - ja vieläpä KAIKKIALLA netissä? Kuka tämmöistä on ajanut? Miksi? Miksi siihen on suostuttu? Miten ihmiset, joilla oikeasti ei ole puhelinta tai jotka joutuvat käyttämään vpn- tai anonymointipalveluita, pystyvät ylipäätään tekemään netissä enää yhtään mitään? Ei se näin ollut vielä tovi sitten, ei todellakaan.

Esimerkiksi Google ei päästänyt minua luomaan uutta tiliä ilman puhelinnumeroani. Ei kerta kaikkiaan päästänyt, vaan vaati saada sen ja siihen lähetetyn varmistusviestin. Toisella kertaa, ilmeisesti käytössäni oli toinen ip-osoite käyttämäni vpn-palvelun kautta, se kuitenkin onnistui. Näennäisesti. Kun yritin kirjautua näet sisälle ko. tilille, Google alkoi ruikuttamaan, että "tilini on varmaan kaapattu, etpäs pääsekään sisälle". Tämä siis siitä huolimatta, että käyttäjätunnus ja salasana oli tasan tarkkaan oikein ja olin nimenomaisesti ottanut tilin asetuksista pois turhat turvallisuusruikutukset ja vaatimukset juuri tämmöistä paskaa pelätessäni. Mitkään avut ja yritykset päästä tästä läpi eivät toimineet, koska ko. tililläni ei ollut saatuja eikä lähetettyjä sähköposteja (joista olisin turvakysymyksiin voinut vastata), eikä minulla todellakaan ollut harmainta aavistustakaan, mistä ip:stä minä olen viimeksi sinne mahtanut kirjautua sisälle (joita Google kyseli). Se, että pystyin kyllä kertomaan, koska tili on luotu ja koska sinne on kirjauduttu, ei auttanut mitään. Tuo tili on ja pysyy näköjään maailmanloppuun saakka lukittuna nyt sitten.

Aivan sama lopputulos oli useiden muidenkin sähköposteja tarjoavien nettipalveluiden kanssa, joita käytin. Joko ilman toimivaa puhelinnumeroa ei päässyt lainkaan luomaan tiliä, tai anonyymi ip-osoite esti tilin luomisen, tai vaihtoehtoisesti kirjautuminen anonyymistä ip-osoitteesta tms. lukitsi käytännössä koko tilin ja esti sen käytön. Aina. Kaikkialla. En jaksa lähteä edes luettelemaan, mitä kaikkia ilmaisia sähköpostitilejä koetin käyttää, kokeilkaa toki itse jos ette usko minua...googlettakaa vaikka "free email" ja alkakaa käydä listaa läpi vaikkapa Tor-selaimen kanssa ja huomaatte äkkiä, että puhun totta.

Voitte pitää minua paranoidina salaliittoteoreetikkona, mutta kun sen teette, niin muistakaapa, miten monta kertaa olen ollut kaikissa tämmöisissä jutuissani täysin oikeassa tähän mennessä. En usko, että olen väärässä tälläkään kertaa, vaikka voikin mennä vuosia, ennen kuin totuus tästä asiasta paljastuu. Olen näet täysin vakuuttunut, että kyseessä ei ole sattuma. Ei Googlen, eikä muidenkaan palveluntarjoajien toimesta. Kyseessä on harkittu, tietoinen valinta, johon hallitukset, tiedustelupalvelut ja viranomaiset ovat erilaisia palveluntarjoajia pakottaneet tai uhanneet. Koska viranomaisia vituttaa suunnattomasti se, että ihmiset voivat vapaasti perustaa sähköpostitilejä, blogeja ja foorumeita ja viestitellä vapaasti keskenään ilman, että mikään taho maailmassa pystyy heitä oikeasti jäljittämään ja sitä kautta ahdistelemaan. Kun käytännössä pakotetaan kaikki ihmiset rekisteröitymään puhelinnumeronsa perusteella ja estetään kirjautumiset ja rekisteröinnit anonyymipalveluiden kautta, voidaan hyvin tehokkaasti jäljittää kuka tahansa, mitä tahansa tiliä käyttävä ihminen ja saattaa viranomaisten vainon kohteeksi tai ainakin vakoilun uhriksi niin halutessaan.

Kannattaa myös muistaa, että todellisuudessa useiden eri palveluntarjoajien takana on kuitenkin aikalailla sama ja pieni porukka. Miltei kaikki niistä ovat USA:ssa päämajaansa pitäviä tahoja, joten voitte vain arvella, miten paljon USA:n viranomaiset ovat niitä pystyneet painostamaan tässä asiassa. Ulkomaillakin toimivista sähköpostipalveluista osa on suurten mediayhtiöiden hallussa, jotka puolestaan ovat pääosin amerikkalaisia firmoja tai muita suuryrityksiä. Facebook, Linkedin, Twitter, Yahoo, jne. ovat kaikki Yhdysvalloissa toimivia puljuja ja siten heidän lakiensa ja viranomaisten painostusten alaisia. Ehkä joku itsenäinen, pienempi tarjoaja jossain suostuu ottamaan käyttäjiä ilman puhelinnumeroa ja "hyvää" ip-osoitetta, mutta ainakaan suurempien ja helpoiten löydettävien joukosta moista ei löydy.

Älkää luulko, että prepaid-liittymän ottaminen kännykkään auttaisi. Ensinnäkin, puhelin voidaan tunnista imei-koodinsa perusteella, vaikka siinä oleva sim-kortti vaihtuisikin. Toiseksi, prepaid-kortit pystytään jäljittämään Suomessakin myyntipisteeseen ja myyntihetkeen saakka, jolloin mm. turvakameroiden kuvista jne. voidaan löytää sen ostaja helposti pitkänkin ajan kuluttua. Kolmanneksi, monissa maissa prepaideja ei saa ostaa, jollei tunnistaudu henkilötunnuksilla myyjätaholle ja henkilötiedot todellakin lähetetään eteenpäin viranomaisille aina. Neljänneksi, vaikka saisitkin ostettua anonyymisti prepaidin ja käytetyn kännykän, kun laitat sim-kortin sisään puhelimeesi ja puhelimesi rekisteröityy verkkoon, se de facto paikantuu sinne myöskin ja sinut voidaan sen kautta jäljittää joka tapauksessa. Tämän kaiken vuoksi juuri tämä puhelintunnistautuminen on todella vittumainen temppu yksityisyydensuojan kannalta. Siltä on hyvin vaikea luikerrella karkuun.

Tiedän, mitä jotkut teistä ajattelevat ja koettavat selittää: No kyseessähän on vain yritys turvata poloinen käyttäjä väärinkäytöksiä vastaan ja ehkäistä spämmiä ja muuta ikävää, jota netti nykyään pursuaa. Paskat. Paskat ole. Tähänkin päivään saakka ihmisten tilejä on kaapattu, väärinkäytetty ja tuhottu, eivätkä tämmöiset pelleilyt sitä estä tänäkään päivänä. Jos käyttäjän salasana joutuu hukkaan, peli on joka tapauksessa menetetty ja jos se ei ole hukassa, siihen pitäisi voida palveluntarjoajankin voida luottaa. Spämmiä puolestaan ei yksikään taho lähetä mistään www-sähköpostipalveluiden kautta ihan siitä syystä, että se ei yksinkertaisesti onnistu niistä mitenkään. Spämmiä pitää pystyä lähettämään miljoonia kappaleita lyhyen ajan sisällä ja se ei gmailin tai hotmailin kautta onnistu mitenkään koskaan ikinä. Jos palveluntarjoajat oikeasti haluaisivat koettaa turvata käyttäjien tilejä kaappauksia ja väärinkäytöksiä vastaan, ne ottaisivat käyttöön esimerkiksi kahden salasanan tekniikan tai vastaavia temppuja. Mutta eivät ota. Sen sijaan ne haluavat pystyä jäljittämään ihmisen puhelimen tai oikean ip:n perusteella pilkuntarkasti.

Minä ainakin olen hyvin huolestunut tästä suuntauksesta. Toivottavasti sinäkin olet. Syytä ainakin on. Internetin vapaus, anonymiteetti ja tietosuoja on rapistumassa vauhdilla. Tämä ei ole enää se sama internet, joka se oli vielä 5 vuotta sitten...puhumattakaan, joka se oli silloin, kun minäkin internetin käyttöäni aloittelin, joskus 15 vuotta sitten. Tämä internet alkaa muistuttaa yhä enemmän lähinnä vitsiä, Orwellilaista näennäisvapautta ja ihmisten loukuttamista kuin mitään muuta. Ihmiset houkutellaan netin ääreen käyttämään palveluita ja muka "ilmaisemaan itseään", mutta todellisuudessa he vain jättävät siten tehdessään itsestään pysyvät ja jäljitettävissä olevat merkit digitaaliseen maailmaan...jotka tulevat vainoamaan heitä jatkossa jos tarvetta löytyy.

13 kommenttia:

Anonyymi kirjoitti...

Itsellä oli sama juttu tuossa syksyllä.

Päätin, että en ota gmailia, koska Google.

Ja mulla oli toinenkin vaatimus Halusin, että osoitetta voi käyttää erillisellä sähköpostiohjelmalla.

Etsin kanssa aika kauan, että löysin sopivan. Päädyin saksalaiseen gmx.com palveluun. Toistaiseksi olen ollut erittäin tyytyväinen siihen.

Anonyymi kirjoitti...

Jep, olen huomannut tämän asian. 2000-vuosikymmenen alussa oltiin hyvin tarkkoja yksityisyyden suojasta Internetissä. Kaikenlaisista vakoiluohjelmista varoiteltiin lähes paranoidisti.

Nykyään yksityisyyteen asennoidutaan aivan apaattisesti. Ihmisistä kerätään ties mitä rekistereitä, eikä ketään tunnu kiinnostavan. Snowdenin tapaus on tosin tainnut pistää väkeä vähän miettimään.

Anonyymi kirjoitti...

Ensisijainen tarkoitus puhelinnumeron antamiselle on unohtuneen salasanan palauttaminen, eikä suinkaan spammin esto tai muu vastaava.

Puhelinnumeron sijasta voi myös laittaa vaihtoehtoisen sähköpostiosoitteen

En kyllä tiedä mihin Googleen olet yrittänyt tehdä tiliä. Itse kokeilin äsken, eikä tarvinnut puhelinnumeroa tai vaihtoehtoista sähköpostia

Anonyymi kirjoitti...

"Ja mulla oli toinenkin vaatimus Halusin, että osoitetta voi käyttää erillisellä sähköpostiohjelmalla."

Gmailia pystyy käyttämään erillisellä sähköpostiohjelmalla. Ominaisuus täytyy vaan ruksia päälle asetuksista

Markus Jansson kirjoitti...

> Ensisijainen tarkoitus
> puhelinnumeron antamiselle on
> unohtuneen salasanan palauttaminen,
> eikä suinkaan spammin esto tai muu
> vastaava.
> Puhelinnumeron sijasta voi myös
> laittaa vaihtoehtoisen
> sähköpostiosoitteen
> En kyllä tiedä mihin Googleen olet
> yrittänyt tehdä tiliä. Itse
> kokeilin äsken, eikä tarvinnut
> puhelinnumeroa tai vaihtoehtoista
> sähköpostia

KUTEN SELVÄSTI KIRJOITUKSESSANI SANOIN:

Esimerkiksi Google ei päästänyt minua luomaan uutta tiliä ilman puhelinnumeroani. Ei kerta kaikkiaan päästänyt, vaan vaati saada sen ja siihen lähetetyn varmistusviestin. Toisella kertaa, ilmeisesti käytössäni oli toinen ip-osoite käyttämäni vpn-palvelun kautta, se kuitenkin onnistui. Näennäisesti. Kun yritin kirjautua näet sisälle ko. tilille, Google alkoi ruikuttamaan, että "tilini on varmaan kaapattu, etpäs pääsekään sisälle". Tämä siis siitä huolimatta, että käyttäjätunnus ja salasana oli tasan tarkkaan oikein ja olin nimenomaisesti ottanut tilin asetuksista pois turhat turvallisuusruikutukset ja vaatimukset juuri tämmöistä paskaa pelätessäni. Mitkään avut ja yritykset päästä tästä läpi eivät toimineet, koska ko. tililläni ei ollut saatuja eikä lähetettyjä sähköposteja (joista olisin turvakysymyksiin voinut vastata), eikä minulla todellakaan ollut harmainta aavistustakaan, mistä ip:stä minä olen viimeksi sinne mahtanut kirjautua sisälle (joita Google kyseli). Se, että pystyin kyllä kertomaan, koska tili on luotu ja koska sinne on kirjauduttu, ei auttanut mitään. Tuo tili on ja pysyy näköjään maailmanloppuun saakka lukittuna nyt sitten.

Anonyymi kirjoitti...

Itse olen mennyt tietoturva asiassa siihen, että minulla on vanha puhelin jossa ei ole nettiä. Kirjeen vaihdon teen kirjeellä. Esim tätä varten meidän perheellä on nettiin oma tietokone ja sitten ne kirjanpito, kirjeiden / aisakirjojen kirjoittaminen tapahtuu sellaisella koneella joka on irroitettu netistä. Laskut käyn maksamassa pankin yleisöpäätteellä. Pyrin käyttämään mahdollisimman paljon käteistä ENKÄ KÄYTÄ BONUS / KANTA-ASIAKAS kortteja.

Armeijan kävin -80 luvulla ja siellä oli jokaiseen puhelimeen liimattu tarra - " puheluasi voidaan kuunnella. Puhu harkiten" Eli jos on tärkeää asiaa käyn ko. henkilön luona kertomassa tuon asian. Pitkien matkojen päähän kirjoittelen joko käsin kirjeen tai sitten tuolla verkosta irrallaan olevalla koneella jossa on avoimen lähdekoodin ohjelmisto. Siinä saavat googlet yms miettiä millaista elämää elän.

Markus Jansson kirjoitti...

Aaah, miten sydäntä lämmittää lukea tuollaisesta... :) Hienoa, juuri noin se pitäisi kaikkien tehdä. Täsmälleen noin. Tai no, se nettiin menevän tietokoneen netti voisi mennä vielä anonyymipalvelun (ipredator esim.) kautta, niin ei jäisi nettisurffailustakaan sen kummempia jälkiä mihinkään. :p

yvb46uyb5 kirjoitti...

Hieman aiheen vierestä mutta kysyn kuitenkin:

Oletko Markus perehtynyt oman sähköpostipalvelimen ja/tai www-palvelimen pystyttämiseen (edut ja haitat)? En tarkoita hosting-palvelua virtuaalipalvelimella (niinkuin kotisivusi nyt), vaan että oma fyysinen palvelin omissa fyysisissä tiloissa?

Etuja: kaikki data on omassa hallinnassa, ei tarvitse luottaa googlen & vastaavien palveluntuottajien hyvään tahtoon, ei ole kolmatta osapuolta joka voidaan velvoittaa luovuttamaan tietoja sinusta sinun tietäättäsi (salaiset tietopyynnöt) & voit käyttää juuri sellaista kokoonpanoa kuin tahdot.

Haittoja (Uuskielellä haasteita): Kiinteitä ip-osoitteita ei juuri saa kuluttajaliittymiin (yritysliittymistä voi kysellä mutta en tiedä myykö operaattorit yritysliittymiä yksityishenkilöille). Vaihtoisesti voi käyttää Dynaamista DNS:ää. Mikäli vihamielinen taho tahtoo sulkea/sensuroida sivustosi, onnistuu se sekä dns-tasolla että fyysisin konstein (kun palvelimen sijainti on tiedossa). Toki suojautumiskonsteja on (esim. oma palvelu tor-piilopalvelun taakse), mutta ne vie aikaa & vaivaa.

Markus Jansson kirjoitti...

> Oletko Markus perehtynyt oman
> sähköpostipalvelimen ja/tai www-
> palvelimen pystyttämiseen (edut ja
> haitat)?

Olen jonkin verran kyllä. On se mielessä ollut, pitäisi kyllä sitä varten hommata sitten joku kakkostietokone. Olisi makeaa laittaa todellakin omat nettisivut clearwebbiin sekä tor-verkkoon ja vieläpä oma sähköpostipalvelinkin siihen samaan syssyyn. Niin ja tietenkin https-yhteyden päähän ja yhteydenottolomakkeella jne.

Siinä saisi sitten itse harjoitella sivustonsa ylläpitoa ja suojaamista hyökkäyksiä vastaan, niitä varmasti näet tulisi ja ihan kivaa, että tulisi (dossitus on mulkkujen hommaa). Samalla kaikenlaiseen muun homman tekeminenkin onnistuisi kivasti, kun olisi oma palvelin. Olisi siinä hienoutensa ja haasteensa, kuten pitääkin!

Tietysti kiintolevyt kryptattuna alusta loppuun saakka, jotta mahdollisen ratsian tullen saa Gestapo ns. imeä kyrpää.

Markus Jansson kirjoitti...

Itse asiassa, hauskinta olisi pitää viittä eri "linjaa" ja tietokonetta, jos olisi kunnon 100/100 yhteys tai sitäkin nopeampi. Alaspäin kaistaa kyllä piisaa helposti tuon verran, mutta nettiin päin ei satasta päästä valitettavasti tällä netillä. Anyway, eli koneet #:

1) Tor-in-node niitä varten, joiden valtiot/palveluntarjoajat pyrkivät estämään pääsyn normaalilla tavalla Tor-verkkoon. Esimerkiksi nopeudella 30/30Mbs

2) Tor-hidden-node omaa nettisivua ja yhteydenpitoja varten. Esimerkiksi nopeudella 10/10Mbs

3) Tor-exit-node. Esimerkiksi nopeudella 30/30Mbs

4) Clearweb-serveri kotisivuille, sähköpostipalvelimelle ja yhteydenottolomakkeille, reaaliaikainen videoneuvottelu/feedi jne. halutessa jne. Esimerkiksi nopeudella 10/10Mbs

5) Oma tietokone, heh, tietenkin.

Mutta aina saa haaveilla... :)

Anonyymi kirjoitti...

Omassa sähköpostipalvelimessa on sellainen pieni rajoite, että Suomen viranomaiset ovat ohjeistaneet kaikkia palvelutarjoajia estämään asiakkailta suoraan verkkoon lähtevän sähköpostin aikoinaan pahasti häirinneen spämmiongelman takia. Ulospäin sähköpostin pitää mennä oman palvelutarjoajan sähköpostipalvelimen kautta.

Anonyymi kirjoitti...

"Ulospäin sähköpostin pitää mennä oman palvelutarjoajan sähköpostipalvelimen kautta."

Paitsi, jos on autentikoiva sähköpostipalvelin.

Anonyymi kirjoitti...

Siksipä en käytä mitään palveluita, jotka vaativat esim. puhelinnumeron tilin luomiseen. EVVK klikkaan ruksista paskan kiinni.