14. marraskuuta 2019

Yleisimpien nettipalveluiden hakkerointi salasana resetoimalla

Tein sarjan hakkerointikokeita yleisiä ja turvallisina pidettyjä nettipalveluja vastaan. Kohteikseni valikoituivat Facebook, Google, Microsoft, Protonmail, Twitter ja Veikkaus. Katsoin, miten helppoa niihin olisi hakkeroitua - lakiteknisistä syistä omille tileilleni - käyttäen lapsellista keinoa:"Olen unohtanut salasanani." Tulos oli jäätävä. Vain Protonmail osasi suojautua tältä hyökkäykseltä täydellisesti ja Facebook ynnä Veikkaus jonkin verran tehokkaasti. Google, Microsoft ja Twitter eivät käytännössä lainkaan, ei, vaikka Googlessa tilillä, johon hyökkäykseni tein, on käytössä "Advanced Protection Program"!

Täsmennän vielä, että olen itse vääntänyt näissä palveluissa asetukset niin tiukoille kuin mahdollista. Olen siis, tietoisena ja asiaan perehtyneenä, tehnyt kaikki mahdolliset toimet minimoidakseni tätä riskiä ja huolehtiakseni tietoturvastani. Suurinosa peruskäyttäjistä ei osaa, eikä välitä tehdä näitä toimia, joten heidän tilinsä on vielä paljon suuremmassa vaarassa tämän tyyppistä hyökkäystä vastaan, kuin mitä minun tilini näissä kokeissa on. Tämä minun kokeeni osoittaa siis, miten parhaimmassakaan tilanteessa uhri ei ole juurikaan suojattu - ei suinkaan sitä, miten käsittämättömän heikosti suojattu keskimääräinen uhri on!

Itse tuloksiin:

Google, Microsoft ja Twitter antavat mahdollisuuden resetoida salasana ja poistaa kaikki 2-vaiheisen tunnistautumisen vaatimukset, kunhan tiedät jotain aivan yleisesti saatavilla olevia tietoja uhristasi ja pystyt kaappaamaan hänelle lähetetyn salasanojen resetointiin toimivan, salaamattoman sähköpostin (tai joissain tapauksissa tekstiviestin). Toisin sanoen, pelkästään se, että uhrillasi on koneellaan käytössä vaikkapa Thunderbird tai Outlook -sähköpostisovellus ja pääset sen äärelle alle minuutiksi, riittää uhrin ko. tilien kaappaamiseen...tai uhrisi jättää moisen palvelun hetkeksi auki ollessaan kirjautuneena siihen nettiselaimensa kautta...tai nappaat sähköpostin, kun se siirtyy selkokielisenä pitkin nettiä (esim. sähköpostioperaattorin palveluksessa oleva henkilö jne.)...tai vilkaiset uhrin puhelinta sopivalla hetkellä...tai teet sim-swap hyökkäyksen, jne. yms. vaihtoehtoja on monia. Tällöin saat ko. uhrin tilin salasanan resetoitua tuossa viestissä olevilla tiedoilla ja 2-vaiheisen kirjautumisenkin poistettua päältä ja voit kaikessa rauhassa tunkeutua kyseiseen nettipalveluun - sekä luonnollisesti estää uhriasi itseään kirjautumasta ko. palveluun enää ikinä! Huvittavinta on, että joskus resetointisähköposti on mahdollista tilata myös täysin vieraaseen sähköpostiin, siis hakkerin omaan, kunhan tarpeeksi ruikuttaa siitä, että ei pääse mukamas käyttämään oikeaa sähköpostiaan jostain syystä. Jäätävää.

Epäloogisuutta lisää se fakta, että kaikki nämä palvelut vaativat kirjautunutta käyttäjää kirjoittamaan salasanansa uudelleen, kun tämä tekee jotain "tärkeitä" toimia, esimerkiksi haluaa vaihtaa salasanaansa tms. Tällöin, jos hyökkääjä pääsee hetkeksi vaikkapa tietokoneelle, jossa uhri on kirjautuneena sisälle ko. palveluihin, ei hyökkääjä voi tätä kautta edetä ja kaapata tiliä mitenkään. Näin se pitääkin olla. Mutta samaa logiikkaa ja varovaisuutta ei noudateta salasanan palauttamisessa! Miksi hyökkääjä koettaisi muuttaa vaikkapa salasanaa sitä suoraan palvelussä sisällä kirjatuneena ollessaan, kun sen voi muuttaa menemällä sähköpostiboksiin ja klikkaamalla sieltä resetointilinkkiä? Aivan. Ketju on vain niin vahva kuin sen heikoin lenkki.

Google tarjoaa niin monta eri tapaa poistaa 2-vaiheinen tunnistautuminen ja resetoida salasana, että ihan hirvittää. Kyllä hakkeri noista jonkun tietää, arvaa tai murtaa. Mitä useampi tapa, sitä enemmän vuotokohtia. Ja miksi Google tarjoaa resetointimahdollisuutta esim. tekstiviestillä, kun kuitenkin "Advanced Protection Program" nimenomaan väittää, että KAIKKI kirjautumisetkin pitää varmistaa AINA fyysisellä avaimella (U2F)? Eihän tässä ole mitään järkeä, eikä logiikkaa, hakkeri kun menee siitä mistä aita on matalin! Helposti lähtee salasanan ja 2-vaiheisen resetointiviestit sähköpostiin tai tekstareina puhelimiin täältä.

Googlelta pystyi ainakin joskus lähetyttämään resetointiviestin myös sellaiseen sähköpostiin, jota uhrilla ei ole edes koskaan ollutkaan - eli suoraan hakkerin omaan sähköpostiin. Tämä onnistuu, jos osaa vastata riittävän moneen kysymykseen oikein ja ruikuttaa sitten, ettei muka pääse käyttämään tavanomaista sähköpostiaan. Naurettavaa. Luultavasti tämä onnistu yhä, mutta loputtomien vaihtoehtojen lomassa en siihen asti päässyt tällä kertaa (aiemmin tein ko. kokeen).

Epäloogisuuden huipentuma on minusta Microsoft, jonka tileihin on olemassa "Recovery Code", joka pitää syöttää. Niinhän se pitäisi ollakin, että jokaisella palvelulla olisi oma "Recovery Code", joka esimerkiksi kerrotaan vain kerran ko. tiliä perustettaessa ja jolla tilin saa myöhemmin palautettua itselleen. (Tämmöistähän minä ehdotin käytettäväksi kaikissa palveluissa jo yli 10 vuotta sitten!) Loistavaa! Juuri näin! Mutta...mikä tässä on epäloogisuuden huipentuma Microsoftin osalta? No se, että Microsoft kyllä kysyy ko. "Recovery Code", mutta jos sitä ei ole antaa, niin Microsoft suostuu SILTI resetoimaan ko. tilin tunnistetautumistiedot!!! Aivan käsittämätöntä idiotismia!

Microsoft tarjoaa Googlen tavoin niin monta eri tapaa poistaa 2-vaiheinen resetointi ja salasana, että ihan hirvittää. Taas kerran totean: Mitä useampi tämmöinen mahdollisuus, sitä useampi aukko, jota hakkeri voi käyttää hyväkseen. Typerää toimintaa tämäkin Microsoftilta!

Microsoftiltakin on joskus pystynyt lähetyttämään resetointiviestin myös sellaiseen sähköpostiosoitteeseen, jota uhrilla ei ole koskaan edes ollut. Tällä kertaa en siinä onnistunut kuitenkaan, ehkä tämä aukko on korjattu tai sitten en vain löytänyt sitä tällä kertaa. Huolestuttavaa kyllä sekin tieto, että noin on voitu aiemmin toimia!

Microsoftin toiminta myös naurattaa melkoisesti: Kaikista näistä palveluntarjoajista vain ja ainoastaan Microsoft tarjoaa Fido2-tunnistautumista palveluunsa, joka on siis turvallisin mahdollisin tunnistautumismenetelmä, mitä olemassa on. Mutta silti, sama Microsoft mahdollistaa sen(kin) turvallisuusmenetelmän kiertämisen lapsellisen helposti tilin salasanan palauttamisen kautta!!! Ei tälle voi kuin nauraa!

Microsoft toimii pähkähullusti myöskin sikäli, että se tarjoaa mahdollisuutta siihen, että käyttäjä voi heti salasanan resetoinnin jälkeen kirjautua sisälle uudella salasanallaan (jonka voi luoda saadusta resetointisähköpostista) tietokoneisiin, jotka ovat ko. Microsoftin tiliin liitetty, vaikka muutoin seuraakin 30 vuorokauden odottelujakso tietoturvasyistä. Microsoft lukitsee siis kaikkein hyödyttömimmät ja tietoturvan- ja tietosuojan kannalta epäolennaisemmat palvelunsa salasanaresetin jälkeen, mutta ei kaikkein tärkeintä ja uhanalaisinta systeemiä: Itse tietokoneisiin kirjautumisia! Aivan pähkähullua. Järjetöntä.

Twitterinkin toiminta naurattaa: Twitteristä voi asetuksista laittaa päälle option, jossa käyttäjältä varmistetaan henkilökohtaisia tietoja ennen, kuin salasanaa suostutaan resetoimaan. Nämä "henkilökohtaiset tiedot" ovat sähköposti, käyttäjätunnus ja puhelinnumero - eli kenen tahansa kenestä tahansa melko helposti saatavilla olevia tietoja! Uskomatonta pelleilyä. Noin helpolla lähtee salasanan ja 2-vaiheisen kirjautumisen resetointiviesti uhrin sähköpostiin (tai joissain tapauksissa tekstiviestinä tai sähköpostiosoitteeseen, jota uhrilla ei ole koskaan ollutkaan).

Facebookissa asia on paremmalla tolalla: Se paitsi lähettää sähköpostin salattuna palvelimelta palvelimelle (jos tämä tukee sitä), niin mahdollistaa myös sähköpostin sisällön salaamisen käyttäjän omalla PGP-avaimella. Tällöin hyökkääjä, joka pääsee urkkimaan sähköpostipalvelinten välistä liikennettä, ei voi saada selkokielistä resetointilinkkiä mitenkään. Vaikka hyökkääjä pääsisi lukemaan uhrinsa sähköpostiboksia, hän ei siltikään saisi resetointilinkkiä, koska se olisi vielä salattu uhrin PGP-avaimella (jota hyökkääjällä tuskin on). Tämä on hyvä juttu. Todella on hyvä ja kuitenkin kohtuullisen simppeli, mutta Facebookin käyttäjän pitää itse tajuta ottaa se käyttöönsä.

Facebook ei anna armoa, eikä kuuntele selityksiä: Jos hakkeri yrittää selittää, ettei voi käyttää palauttamisen sähköpostiosoitettasi, homma tyssää siihen. Toisin sanoen, et voi valita jotain muuta palauttamisvaihtoehtoa tai saada palautuskoodeja vaikkapa johonkin aivan toiseen sähköpostiin. Ja jos koetat palauttaa ne oikeaan sähköpostiin, ne menevät sinne todellakin salattuina ja vieläpä sen päälle luultavasti PGP:llä salattuina.

Veikkaus ei mahdollista salasanan resetointia kuin pankkitunnuksilla. Tämä on erittäin hyvä asia ja vahva suojauskeino. Toisaalta, salasanan palauttaminen ON silti aina olemassa, sitä ei voi kytkeä pois päältä. Lisäksi Veikkaus ei tuo millään muotoa mitään 2-vaiheista tunnistautumista, ei edes tekstiviestiä, Fido2 nyt puhumattakaan, joten isot miinuspisteet tästä puutteesta tietoturvan osalta: Uhrin salasanan kaapannut voi rauhassa kirjautua Veikkauksen palveluihin tekemään mitä lystää, koska 2-vaiheinen tunnistauminen puuttuu kokonaan. Ei näin!

Protonmailissa asia on juuri, kuten sen pitäisikin olla: Tilin palautus on optio, joka pitää kytkeä itse päälle - se ei ole oletuksena päällä lainkaan. Jos unohdat salasanasi, tilisi on mennyttä ja sillä hyvä. Protonmail ei myöskään kerro hakkerille, onko sinulla tilin palautus päällä vaiko ei, joten tämä saattaa tuhlata paljonkin aikaansa sitä kaivellaakseen - turhaan. Siinäkin tapauksessa, että tilin palautus olisi kytkettynä päälle, tilin palautus tuhoaa kaikki sähköpostit ko. tililtä, koska niiden salausavain on tällöin myös tuhoutunut. Loistava juttu. Isot pisteet tästä! Näin tämän kuuluu olla. Pieni miinus toki Protonmailillekin muutoin tietoturvasta siitä syystä, että 2-vaiheisista tunnistautumismuodoista se tukee vain TOTP:ia.

Sivuhuomautus:

Monessa näistä palveluista on valittavana erilaisia 2-vaiheisen kirjautumisen muotoja, esim. (turvallisuusjärjestyksessä) tekstiviesti, sähköpostivarmennus, TOTP, U2F ja Fido2. Umpihulluksi asian tekee se, että monessa näistä palveluista on pakko käyttää kahta ERI 2-vaiheista kirjautumista, esim. tekstiviestiä ja U2F:ää. Mikä järki tässä on? Ei mikään. Miksi hyökkääjä edes yrittäisi murtaa vahvaa U2F:ää, kun hän voi paljon helpommalla kaapata tekstiviestin? Niih. Tässäkin asian pitäisi olla niin, että käyttäjä voi täysin itse päättää täysin, mitä 2-vaiheisen tunnistamisen muotoja hän käyttää ja olla käyttämättä kaikkia muita, sekä tietenkin estää 2-vaiheisen tunnistamisen kiertämisen millään muotoa. Eihän koko touhussa ole muuten mitään järkeä: Hyökkääjä menee sisään siitä, missä on heikoin lenkki. Yleensä se on koko turvajuttujen ohittaminen salasana resetoimalla - ja 2-vaiheisen osalta heikoimman 2-vaiheisen turvamenetelmän käyttäminen/hakkerointi (jos sitä ei haluta tai tarvitse resetoida samalla salasanan kanssa).

Suositukseni parannuksiksi:
  1. Nettipalveluiden pitäisi ottaa käyttöön "Recovery Code", joka tarjottaisiin käyttäjälle vain ja ainoastaan tilin perustamisvaiheessa ja jolla - ja vain ainoastaan sillä - voisi resetoida kaikki salasanat, tunnistautuneet laitteet, 2-vaiheisen tunnistuksen systeemit ja muut. Näin estettäisiin tilien kaappaus varastetuilla salasanoilla ja muilla, sekä estettäisiin tilin turvallisuustietojen resetointi hakkerien toimesta. (Tämmöistähän minä ehdotin käytettäväksi kaikissa palveluissa jo yli 10 vuotta sitten!)
  2. Nettipalveluiden pitäisi toteuttaa "Recovery Code" käyttö siten, että käyttäjä saisi salasanan unohdettuaan sähköpostiinsa ilmoituksen ja linkin (voimassa esim. 10min), jonne tuo "Recovery Code" syötetään. Näin estetään se, että hyökkääjä, joka on saanut "Recovery Code" varastettua itselleen, ei voi sitä käyttää itsessään, koska hänellä pitää olla myös pääsy uhrin sähköpostiin! Tämä yhdistelmä toisi huomattavaa lisäturvallisuutta. Ei olisi toki pahasta toimia kuten Facebook, eli tarjota mahdollisuutta tämän linkinkin kryptaamiseen käyttäjän PGP-avaimella lisäturvallisuuden saavuttamiseksi.
  3. Nettipalveluiden pitäisi sallia vaihtoehtoina se, ettei tiliä voi palauttaa, jos valitut tunnistetiedot (salasana, 2-vaiheinen tunnistus jne.) hukkuvat. Tämä mahdollistaisi suurimman mahdollisen tietoturvan niille, jotka sitä haluavat ja jotka pitävät hyvää huolta noista tunnistautumisvälineistään. Tämä vaihtoehto pitäisi olla oletuksena päällä, koska käyttäjät ovat idiootteja, eivätkä kuitenkaan välitä sitä itse laittaa päälle.
  4. Nettipalveluiden pitäisi sallia erilaisia 2-vaiheisen tunnistautumisen muotoja ja antaa asiakkaan määritellä tarkasti, mitä niistä hän haluaa ylipäätään käyttää, eikä pakottaa mihinkään tiettyyn menetelmään. Näin käyttäjä voisi olla halutessaan käyttämättä turvattomia menetelmiä ja estää siten niiden käyttämisen hänen tilin kaappaamiseenkin. Niin ja sanomattakin on selvää, että nettipalveluiden pitäisi kaikkien tukea vähintään U2F ja mieluiten Fido2 2-vaiheista kirjautumista!
  5. Ymmärrettäisiin, että vaikka yleensä vika on tyhmissä käyttäjissä ja huonoissa salasanoissa, aina ei näin ole asian laita. Usein vika on palveluntarjoajassa, joka ei ymmärrä, tai välitä, tietoturvasta yhtään mitään.


PS. Kuvankaappaukset testien etenemisistä voitte katsoa täältä.Samalla ymmärrätte ehkä paremmin, mitä missäkin kohdassa tarkoitan.

6. marraskuuta 2019

Facebook estää kirjoitteluni - eikä edes väitä sääntöjä rikotun!

Facebook on jatkanut minun sensurointiani uudenlaisella tavalla. Olen shadowbännissä. En voi postata mitään, koska postaukseni mukamas rikkoo yhteisönormeja. Postaukseni mukamas rikkoo yhteisönormeja, vaikka siinä olisi vain hymiö, kirjain "A" tai mitä tahansa muuta. Myös jokainen tykkäykseni rikkoo yhteisönormeja, enkä voi tykätä mistään. Niin ikään jokainen yksityisviestini rikkoo yhteisönormeja, enkä voi lähettää viestejä enkä vastata niihin.

Yksi olennainen ero aiemmin tapahtuneisiin sensurointeihin on se, että en ole saanut mitään ilmoitusta enkä tukikeskuksen viestiä, jossa olisi väitetty, että olisin nyttemmin rikkonut yhteisönormeja, eli että jokin aiempi kirjoitukseni olisi sen vuoksi esimerkiksi poistettu tms. Mitään ilmoitusta mistään rikkomuksista ei ole tullut missään vaiheessa, eikä mitään rikkomusta ole esittää koko tämän profiilini käyttöajalta.

Toinen olennainen ero on, että esto tulee jo heti kun koetan kirjoittaa jotain, eli siis ikäänkuin nyt julkaisemassani viestissä olisi jotain yhteisönormeja rikkovaa, jonka Facebookin tekoäly nappaisi kiinni tms.. Kukaan ei ole voinut ko. viestiä edes ilmiantaa mihinkään, koska sitä ei ole edes koskaan yleisön ilmoilla päätynyt.

Kannattaa muistaa, että jos minut olisi laitettu normaaliin "bänniin", niin silloin, kun koetan julkaista, tulisi ilmoitus siitä, että bänni on voimassa siihen ja siihen asti ja sinä aikana en voi postata mitään. Nythän näin ei ole. Ei ole mitään ilmoitusta voimassaolevasta bännistä, eikä siitä, että se joskus loppuisi, eikä siitä, mistä moinen bänni olisi alunperin edes peräisin.

Tämä alkoi 24.10. ja loppui 27.10, mutta alkoi uudelleen 29.10. ja jatkuu yhä, ks. alla olevat kuvankaappaukset.

Surkuhupaisinta tässä on, etten todellakaan käytä Facebookkia mihinkään muuhun, kuin CFS/ME/SEID-vertaistukiryhmän ylläpitoon. Kyseistä ylläpitoa varten minulla on sitten toki erilaisia varaprofiileita olemassa, joita käyttelen VPN-yhteyksien läpi jne. joita ei voi minuun yhdistää mitenkään itse Facebookkikaan. Näin ollen tämä shadowbänni ei siis käytännössä edes estä minulta yhtään mitään. Ainoastaan sen, etten voi pitää omaa naamaani tuolla ja omalla naamallani toimia tuossa perustamassani, Suomen suurimmassa CFS/ME/SEID-tukiryhmässä.

Mitään syytä käyttää Facebookkia ei minulla olisikaan, jollei olisi tuota tukiryhmää. Ihmiset ovat vain valitettavan takertuneita Facebookkiin, eivätkä osaa ja halua käyttää parempia palveluita erilaisten yhteisöjen toimittamiseksi. Toki, etenkin kun kyseessä ovat vakavasti sairaat ihmiset, se on ihan ymmärrettävääkin, ettei jaksa hakea muualta parempia palveluita kuin Facebook. Säälittää vaan tämä tilanne heidän osaltaan, parempi olisi toimia omalla naamalla jne. siellä, CFS/ME/SEID-potilaat kun ovat Suomessa pahasti heitteillä jo muutenkin.

Toivottavasti joku Facebookin suomalainen moderaattori, joka on tämän tempauksen takana, saa nyt hyvät naurut ja mielihyvät siitä, että vaikeuttaa vakavasti sairaiden ihmisten vertaistukiryhmän toimintaa omalla henkilökohtaisella vittuilullaan. Tavallaan tuossa kulminoituukin juuri näiden suvakkien ajatusmaailma ja käsitys sananvapaudesta: Pääasia on, että eri mieltä olevat vaiennetaan ja heiltä evätään kaikki muiden käyttämät palvelut, seurauksilla, yhdenvertaisuudessa jne. ei ole mitään väliä. Sitten samat suvakit itse itkevät, jos heitä sensuroidaan joissain, aika jännää, että suvakki, joka ei kannata sananvapautta rutisee, kun hänenkään sananvapauttaan ei kannateta. :p

 

PS. Idiooteille tiedoksi noin tuhannennen kerran:
Facebook ei ole yksityishenkilö, eikä Facebook ole kenenkään yksittäisen ihmisen yksityistä omaisuutta, vaan se on julkisyhteisöllinen palvelu, jolla on sitä kautta tiettyjä velvoitteita ihmisiä ja asiakkaitaankin kohtaan, tämä on jo teidän suuresti kunnioittamien oikeusistuintenkin taholta lukuisia kertoja varmistettu asia. On siis täysin eri asia puhua siitä, että yksityishenkilö ei omassa tilassaan (esim. kotonaan, nettisivullaan, tms.) halua kuunnella jonkun ääliön ulinaa...jos olet eri mieltä, kerro missä asut niin tulen kyllä kotiisi paasaamaan sinulle 24/7.

4. marraskuuta 2019

Mobiilivarmenteen tietoturvaan tulossa vakavia heikennyksiä


Mobiilivarmenne on näppärä ja varsin turvallinen tapa tunnistaa henkilö vahvasti ja sähköisesti. Asiakas tunnistetaan pankkitunnusten avulla ja varmenne aktivoidaan asiakkaan nimissä olevaan puhelinliittymään operaattorin nettisivujen kautta. Identiteettivarkaalle tämmöisen turvallisuusrenkaan ohittaminen on täysin ylivoimainen tehtävä, koska hänen pitäisi saada sekä uhrin pankkitunnukset, että myös operaattorin sivuille tunnukset ja vieläpä puhelimen sim-kortti varastettua uhriltaan. Lisäksi mobiilivarmenteen käyttö puhelimessa on pakollisen pin-koodin takana, joten vaikka hyökkääjä saisi uhrin avonaisen puhelimen tai sim-kortin haltuunsa, hän ei voi käyttää mobiilivarmennetta ilman sen pin-koodia. Pin-koodi kysytään aina jokaisella tunnistuskerralla erikseen.

Toisin oli ennen, kun mobiilivarmenteen sai puhelimeensa operaattorin tiskiltä ties minkämoista "henkilötodistusta" vilauttamalla. Esimerkiksi etenkin "500v kotoutumista takana" -ryhmän jäsenet ovat tiettävästi onnistuneesti aktivoineet itselleen toisten ihmisten mobiilivarmenteita operaattorien tiskille marssimalla ja tämän jälkeen ottaneet esim. lainoja ja tilanneet tavaraa uhrin nimiin rajattomasti. Ehkä tiskin luona aktivointia on myös edesauttanut pelko siitä, että jos tiskin takana oleva myyjä ei aktivoi mobiilivarmennetta tai epäilee, ettei aktivoija ole se, kuka väittää olevansa, voi myyjä saada morapuukosta osumaa... Uhrin on ollut vaikea todistaa olevansa identiteettivarkauden uhri, koska ostokset on tehty "vahvaa tunnistamista käyttäen", eivätkä viranomaiset ja oikeusistuimet ole tajunneet, että "vahva tunnistaminen" on vain yhtä vahva kuin sen heikoin lenkki on. Tilanne siis onneksi parantui, kun mobiilivarmenteen saamisen ehtoja kiristettiin.

Nyt kuitenkin mobiilivarmenne on ottamassa ratkaisevaa askelta TAAKSEPÄIN tietoturvassa! Jatkossa mobiilivarmenteen voi itse aktivoida henkilökortilla tai passilla ja puhelimessa olevaa mobiilivarmennetta käyttää kasvokuvalla tai sormenjäljellä!

Miksi mobiilivarmenteen aktivointi henkilökortilla tai passilla on sitten huono ajatus?
- Mikäli kriminaali varastaa esim. käsilaukun, sieltä saa yleensä sitten sekä puhelimen, että myös sen aktivointiin tarvittavan henkilökortinkin!
- Koska aktivointiin ei enää vaadita toista vahvaa tunnistautumista (verkkopankki ja vielä operaattorin sivuilla), ei tietenkään kriminaalinkaan tarvitse niitä uhrinsa puolesta tehdä ja aktivointi on lapsellisen helppoa.

Miksi mobiilivarmenteen käyttö ilman pin-koodia, eli kasvokuvalla tai sormenjäljellä on huono ajatus?
- Kasvokuvat ja sormenjäljet ovat biometrisiä tunnisteita, jotka on lapsellisen helppo kaapata mistä tahansa...pin-koodia ei kukaan voi kaapata pääkoppasi sisältä mitenkään.
- Puhelinten kasvontunnistukset ovat tunnetusti epäturvallisia ja mahdollistavat luurien avaamisen esim. kasvoista tulostetulla kuvalla...tai "vaikeissa" tapauksissa jonkinlaisen simuloidun kuvan avulla.
- Puhelinten sormenjälkienlukijat ovat tunnetusti epäturvallisia ja sormenjälkilukijoita on voitu huiputtaa esimerkiksi lastenkin toimesta nallekarkeilla...tai "vaikeissa" tapauksissa pitää 3D-tulostaa henkilön sormenjäljen omaava vahasormi tms.
- Varastetun puhelimen/mobiilivarmenteen käyttö on siis kriminaalille varsin helppoa, itse asiassa esimerkiksi puolisot ja lapset voivat käyttää vaikkapa nukkuvan puolisonsa naamaa tai sormenjälkeäkin mobiilivarmenteen avaamiseen.

Ei hyvää päivää. Ihmisten tunnistamista kiristetään kaiken aikaa ja kaikenlaisesta ostamisesta ilman tunnistautumista tehdään yhä vaikeampaa. Samalla kuitenkin identiteettivarkaudesta tehdään radikaalisti helpompaa. Yhdistelmä vahvaa tunnistautumista ja siinä kusettamisen helpottamista ajaa myös uhrit entistä ahtaammalle, koska on kerran käytetty "vahvaa tunnistusta", ei mikään taho tahdo uskoa, että kyseistä systeemiä onkin kusetettu ja uhri on uhri, eikä tekojen (esim. lainat jne.) ostaja. Aiemmin, kun vahvaa tunnistautumista ei käytetty, oli uhri vahvemmilla kiistäessään hänen nimissään tehtyjä asioita.

1. lokakuuta 2019

Helsingin hovioikeus palautti järjestyssakkoasian käräjäoikeuteen

On tämä uskomatonta pelleilyä. Mitja Korjakoff määräsi minulle 1000€ järjestyssakon, koska minä nauhoitin salaa Ilja Janitskin oikeudenkäynnin pari päivää. Valitin asiasta hovioikeuteen, koska järjestyssakko on ilmeisen laiton, eikä kenellekään ole koskaan Suomessa moista annettu moisesta, tietenkään, koska oikeusoppineidenkaan mukaan moista ei edes voi antaa. Eli Korjakoff taas sooloilee jotain aivan käsittämätöntä.

Helsingin hovioikeus kiinnitti huomionsa muotoseikkaan: Koska Ilja Janitskin oikeudenkäyntiä veti käräjäoikeudessa kolme tuomaria ja järjestyssakon kirjoitti vain yksi näistä tuomareista (Mitja Korjakoff), kyseessä on merkittävä ns. protokollavirhe ja järjestyssakko on sellaisenaan viraton/mitätön. Eli Korjakoff taas sooloilee jotain aivan käsittämätöntä.

Tällä perusteella Helsingin hovioikeus palautti ko. järjestyssakon takaisin Helsingin käräjäoikeuteen uudelleen käsiteltäväksi, ilmeisesti siinä toivossa, että Korjakoff saa kaksi hitusen selkopäisemmän oloista tuomarikaveriaan kanssa allekirjoittamaan sen. Jos ja kun näin tapahtuu, alkaa koko rumba taas alusta ja päätyy taas Helsingin hovioikeuteen ja ehkä KKO:hon asti, kunnes ehkä vuoden-parin päästä saamme lopullisen päätöksen asiasta.

Helsingin hovioikeus olisi voinut myöskin mitätöidä ko. sakon yllä olevalla perusteella, mutta sitä se ei tehnyt.

Helsingin hovioikeus olisi voinut käsitellä ko. sakon ja hylätä sen minun perusteluillani, mutta sitä se ei tehnyt.

Jokainen voi miettiä, paljonko tässä on jo kulunut viranomaisten kallisarvoista aikaa ja minun vaivaani ja onko koko homma oikeasti tämän väärtti?

Vitsivitsi, tietenkin homma on tämän väärtti! Vaikka minun tai kenen tahansa muun kansallismielisen oikeusmurhaaminen vaatisi miten paljon verovarojen tuhlausta ja viranomaisten ajan haaskausta, se on 99,99% kansasta ja 100% viranomaisista sen arvoista. Yksikään sekunti, jonka viranomainen käyttää kansallismielisten oikeusmurhaamiseen, ei ole hukkaan heitettyä, jos heiltä kysytään. Jokaista viranomaisen ilmiselvää oikeusmurhaa tai ammattitaidottomuudesta johtuvaa mokaa paikkaamaan ollaan niin ikään valmiita käyttämään täysin rajattomasti resursseja, jotta vaan saadaan "julkisuuteen sopiva" tuomio langetettua kansallismieliselle. Pitää olla aika pihalla tämän maan menosta, jos ei tätä jo vähitellen tajua.

En hetkeäkään usko, että ko. järjestyssakkoani tullaan kumoamaan. Minä tulen sen saamaan maksettavakseni ja vain ja ainoastaan minä - kukaan muu koko Suomessa ei voi oikeudenkäyntien salaa nauhoittamisesta järjestyssakkoa saada, sen ovat jo oikeusoppineet meille kertoneet (ks. valitukseni) - mutta Markus Jansson kyllä sen voi saada ja siten saa. Näin tämä menee. Aina.



Alla ko. paperit:


PS. Pitänee väsätä Mitja Korjakoffista valitusta tuosta hyvästä, ettei osaa edes järjestyssakkoa kirjoittaa protokollien mukaan. Mutta jokainenhan meistä jo tietää, ettei se tule johtamaan yhtään mihinkään.

18. syyskuuta 2019

Valtio haluaa keksiä pyörän taas uudestaan - mobiilihenkilökortin!

TiVi uutisoi, että valtio on kehittämässä nyt sitten kuitenkin uutta tunnistusmenetelmää, mobiilihenkilökorttia. Tämä siis siitä huolimatta, että valtion kehittämät ja väkisin ajamat HST-kortit, sen enempää kuin mobiilivarmennekaan tai mobiiliajokorttikaan, eivät ole saaneet yhtään minkäänlaista suosiota ja käyttöä. Silti on pakko koettaa taas kerran ja hukata verovaroja tämmöiseen sekoiluun. Aivan uskomatonta.

Itse kirjoitin jo keväällä, että valtion tulisi yksinkertaisesti hylätä nämä kaikki hevonpaskasuunnitelmat ja systeemit ja käyttää yhtä hyvää, olemassa jo olevaa systeemiä, eli mobiiliajokorttia ja kehittää siitä myös tunnistamiseen - myös verkossa - soveltuva systeemi. Se olisi yksinkertaista, edullista ja tehokasta, sekä mahdollistaisi yhdellä sovelluksellä sekä
  1. Ajo-oikeuden osoittamisen.
  2. Henkilöllisyyden tunnistamisen pankissa jne. kasvotusten jne.
  3. Kirjautumisen verkkopalveluihin vahvalla tunnistautumisella jne.

Ei, ei käy. Pitää keksiä pyörä taas uudestaan ja joka saatanan tarkoitukseen eri sovellus ja systeemit.

Miksi ihmisellä pitää sitten olla erikseen, sekä mobiiliajokortti, että myös mobiilihenkilökortti? Mikä helvetin järki tässä on? Mobiiliajokortilla kun voi jo tunnistaa henkilöllisyytensä nytkin kasvotusten ja se pitää kuitenkin mukana olla, koska nyt suunnitelmissa olevassa mobiilihenkilökortissa ei tietenkään tule olemaan ajo-oikeustietoja mukana!

Aivan pähkähullua. Mielipuolista. Järjetöntä.

Normaalia valtion toimintaa siis.

Tietenkään nämä tunnistautumis- ja muut jutut eivät koske kuin kantasuomalaisia, joiden henkilötiedot kyllä varmistetaan vahvasti joka helvetin kerta, kun jotain aiot ostaa tai tehdä. Matuja, joilla on taskussa vaikka kymmenen eri henkilöllisyyttä eri EU-maissa, tämä ei tietenkään koske millään muotoa...korkeintaan saavat haluamaansa henkilöllisyyteen sitten sopivan mobiilihenkilökortin - jokaiseen puhelimeensa eri henkilöllisyydellä varustettuna tietenkin!

22. elokuuta 2019

Ei haittaa, vaikka et tiedä, mitä ja kenelle olet tunnistautumassa?


Muistanette kirjoitukseni Nordean tunnuslukusovelluksen (ja muiden vastaavien) tietoturvaongelmasta keväältä? Asia ei oikein edennyt julkisuuden, eikä Nordean kautta, joten päätin ottaa yhteyttä suoraan CertFi tietoturvaongelmailmoituksen kautta. Eipä etene sielläkään asia, sain nimittäin tämmöisen vastauksen:
Kiitos yhteydenotosta. Testien perusteella Nordean sovellus tosiaan näyttää kirjautumisen kohteen, mutta ei erillistä yksilöllistä kirjautumistunnistetta per kirjautumisyritys. Tämä ei sinänsä kuitenkaan mahdollista tunkeutumista suoraan verkkopankkiin (tai esiintymään käyttäjän nimissä tunnistautumisen kautta) ilman käyttäjän aktiivisia toimia ja/tai epätarkkuutta kirjautumisten hallinnassa. Vastaavalla tavalla toteutettuja monivaiheisen kirjautumisen todennuksia liikkuu paljon, joten sinänsä toimintamalli ei ole poikkeuksellinen tai turvaton itsessään. Tämän johdosta emme näe tässä tarvetta haavoittuvuuskoordinoinnin käynnistämiseen osaltamme.

Mielenkiintoinen näkemys, että tuo ei olisi ongelma. Nimittäin, kun mobiilivarmennetta aikoinaan suunniteltiin, tuo nimenomainen asia katsottiin tietoturvaongelmaksi ja se korjattiin siten, että mobiilivarmenteen käyttöön lisättiin yksilöivä tunnus, jolla käyttäjä voi varmistaa, että on hyväksymässä juurikin sen asian, mitä haluaa hyväksyä, eikä jotain ihan muuta.

Kuitenkin, kun sama tietoturvaongelma vaivaa Nordean (ja muiden pankkien) kirjautumissovelluksia täsmälleen samassa "vahvassa sähköisessä tunnistautumisessa", niin nyt se ei sitten olekaan mikään tietoturvaongelma, eikä sitä tarvitse korjata.

Aha.

No miksi se sitten oli sitä mobiilivarmenteen osalta ja se katsottiin tarpeelliseksi korjata, ennen kuin mobiilivarmenne lanseerattiin laajaan käyttöön?

Niih.

Tällä tasolla mennään taas kerran Suomessa. Tietoturvasta ei välitetä vittuakaan, eikä ketään kiinnosta vittuakaan. Sitten ihmetellään taas, kun jotain sattuu, että mitenkäs näin pääsikään tapahtumaan.



PS. Monet ns. phishing hyökkäykset verkkopankkeja vastaan (ts. käyttäjien kusetukset esim. valepoliisisoitot jne.) tyssäisivät juurikin tähän varmistukseen, koska kusetettu käyttäjä voisi tajuta, että hänen hyväksyttäväkseen tulee hänen sovellukseensa jonkun muun tekemä kirjautuminen! Sovelluksessa voisi vielä lukea isoilla punaisilla kirjaimilla "Jos et ole ITSE suorittanut tätä kirjautumista omasta aloitteestasi, hylkää kirjautuminen!", jotta tyhmempikin ymmärtäisi, että kusetushyökkäys on menossa. Mutta nähtävästi tämä ei kiinnosta ketään. Ei siinä sitten mitään.

12. elokuuta 2019

Kuntalaisaloite tappotuomion saamiseksi paskomahanhille Raumalla

Alkoi sen verran ottaa päähän näiden paskomahanhien toiminta, että tein asiaan liittyen kuntalaisaloitteen. Raumalla asuva tai muuta intressiä Raumalla omaava voi allekirjoittaa sen, jonka jälkeen se lähetetään (2v kuluessa) kuntaan käsiteltäväksi. Mikäli näiden haittamaahanmuuttajien paskomahanhien puistojen ja rantojen tuhoaminen ja häiriköinti ärsyttää, kehoitan allekirjoittamaan. Muutenhan hyväksyt sen, että sinä ja lapsesi kävelette, makaatte ja uitte hanhenpaskassa tulevatkin vuodet.

Alla vielä koko aloitteen sisältö:

Kanadanhanhet ja valkoposkihanhet ovat vallanneet Rauman uimarannat, puistot, leikkipaikat ja urheilukentät. Hanhien ulosteet pilaavat rannat ja muut alueet käyttökelvottomiksi ja hanhien läsnäolo aiheuttaa vaaratilanteita etenkin lapsille (etenkin kun hanhilla on poikasia). Hanhia, joita on jokainen ranta ja puisto täynnä, ei voi pitää mitenkään uhanalaisina tai suojelua vaativina sen enempää, kuin rottia tai ampiaispesiäkään. 

Hanhet tulisi häätää ja/tai lopettaa kokonaan kaikilta Rauman uimarannoilta, puistoista, leikkipaikoilta ja urheilukentiltä. Hanhien häätöä/tappoa varten kaupungin tulisi hakea asiaan kuuluvat poikkeusluvat asianmukaisilta tahoilta ja toteuttaa häätö/kaato joka vuosi, jotta hanhet pysyisivät kokonaan poissa. 

Kaupungin on asetettava kaupunkilaisten viihtyvyys ja julkisten tilojen käytettävyys etusijalle - siitä kaupunkilaiset verovaroja maksavat, että nämä kaupungin alueet ovat HEIDÄN, eivätkä hanhien käytössä! Hanhille riittää tilaa muualla saaristossa ja sisämaassakin, kaupunkilaisille ei sen sijaan ole enempiä uimarantoja, puistoja, urheilukenttiä jne. käytettävissään!

1. kesäkuuta 2019

Sain vastauksen hallintokanteluuni gestaposta

Tein helmikuussa hallintokantelun poliisista, kun nämä pitivät tiliäni lukittuna vuosikaudet. Nyt tuli vastaus. Sysäävät syyn oikeusrekisterikeskuksen niskoille ja pahoittelevat mokaa. Niih. Eihän poliisi voi koskaan tehdä mitään väärin, vika on aina jossain muualla kuin poliisissa itsessään. Alla ko. paprut (klikkaa isommaksi).




24. toukokuuta 2019

Äärimmäisen vaarallista isoveli valvoo -touhua tulossa maksamiseen


Kuvahaun tulos haulle big brother 1984Kirjoittelin jo blogissani aiemmin lähimaksukorttien tietoturvaongelmista. Itse asiassa jo miltei vuosikymmen sitten. Mitään ei tietenkään kuunneltu ja nyt NFC on tullut laajamittaiseen käyttöön maksamisessa, kun sen käyttörajaakin on nostettu 50 euroon asti. NFC:llä voisi maksaa turvallisesti, jos NFC olisi matkapuhelimessa (fyysisen NFC:n sisältävän kortin sijaan) ja sen voisi siten kytkeä päälle vasta maksutilanteessa ja pitää poissa muutoin. Tällöin NFC olisi itse asiassa huomattavasti normaalia luottokorttia turvallisempi tapa maksaa, koska luottokortin voi varastaa taskusta, mutta pinkoodilla suojattua lukittua kännykkää ei saa auki sitten millään.


Törmäsin erittäin huolestuttavaan uutiseen liittyen maksamisiin. Näyttääkin siltä, että koko rumba NFC-kortteineen ja muineen onkin vain keino paitsi sitoa käyttäjät suuriin luottokorttifirmoihin ja pankkeihin, mutta mikä vielä pahempaa, antaa isoveli valvomaan koko touhua aivan ennennäkemättömällä tavalla: Maksamisesta kaikilla muilla kuin fyysisillä korteilla itsellään fyysisessä paikassa ollaan tekemässä vahvan tunnistautumisen vaativa tapahtuma - kyllä, myös nettimaksamisesta!!!

Tämä ei ole vitsi. Tämä on totista totta.

Jatkossa, kun maksat kaupan kassalla ostoksiasi esimerkiksi jollain maksusovelluksella, joudut suorittamaan vahvan sähköisen tunnistautumisen! Kyllä, kassajonossa! Tai, kun tilaat nettikaupasta vaikkapa tietokoneen osia itsellesi, sinun pitää suorittaa vahva tunnistaminen, vaikka maksaisit laskun suoraan tilisiirtona heti ostosta tehdessäsi! Ei, tämä ei ole vitsi. Tämä on totista totta.

Tällä on muutama massiivinen vaikutus:
  1. Ensinnäkin, tämä vahvistaa Visan ja Mastercardin kartellia Suomessa, kun muista kuin heidän fyysisillä korteillaan maksamisista tehdään todella hankala prosessi suorittaa. Markkinoilla voisi helposti olla kasapäin erilaisia palveluntarjoajia, jotka tarjoaisivat milloin mitäkin eri maksutapaa (nytkin on Google Pay, MobilePay, Masterpass, PayPal, Pivo, Apple Pay, Bitcoinit, jne.) ja kuluttaja voisi valita mieleisensä. Jatkossa tämä ei ole mahdollista, koska helppo maksaminen mobiilisti ja netissä loppuu kuin seinään, eikä esimerkiksi ulkomaisilla palveluntarjoajilla ole intressiä kehitellä maksamisiaan vahvaa sähköistä tunnistamista silmälläpitäen.
  2. Toiseksi, isoveli saa tietoonsa täten helposti kaikki missä käytät rahaa, koska aina pitää tunnistautua vahvasti ja tämä tieto voidaan sitten yhdistää ties mihin viranomaisrekisterihin - tietohan tunnistautumisesta menee aina viranomaisille. Viranomaisilla on myös tämän vuoden alusta lähtien täysi pääsy pankkitilien tietoihin. Aiemmin seuranta ei ollut yhtä helppoa, koska eri tapahtumat ovat olleet eri firmojen systeemeissä ja niistä on voinut osittain kieltäytyäkin (esim. olemalla ottamatta plussabonuskortteja), eikä pankkitilien sisältöä ole voitu seurailla viranomaisten toimesta helposti.
  3. Kolmanneksi ja vakavimmaksi: Ei ole mainintaa, tuleeko käteisellä maksaminenkin vahvan tunnistamisen taakse -eli tarkkaan viranomaistietoon joka ikinen kerta! Ei ehkä vielä tule kuitenkaan? Vai tuleeko? Mutta seuraavaksi tulee. Voitte olla 100% varmoja siitä. Tässä on tarkoituksena ajaa käteisen käytön kielto, eli tehdä KAIKESTA ostamisesta ja myymisestä sellaista, että se on täydellisesti viranomaisten kontrollissa! Ja jos olet "hankala tapaus", eli kuten esim. minä, joka "ajattelee väärin", niin tämmöisen henkilön KAIKKI OSTAMINEN, kyllä, myös ruoan, lääkkeen, jne. voidaan TÄYSIN ESTÄÄ yhdellä napinpainalluksella. Jos olet idiootti ja luotat, ettei hallitus tai viranomaiset moista tekisi, niin muista, että myös joku hakkeri voi sen tehdä lapsellisen helposti, kun systeemi on tämmöinen...ei tarvitse kuin tehdä "virhe" tuohon tunnistautumiseen tai häiritä sitä ja ostoksia ei voi maksaa mitenkään!!!
  4. Valtio voi alkaa rahastamaan tavallisia ihmisiä entistä enemmän, kun kaikki ostokset kirjaatuvat automaattisesti tunnistamisten kautta ylös. Et voi enää myydä esimerkiksi autoasi tai tehdä vaikkapa pientä remppahommaa ilman, että viranomainen saa siitä automaattisesti tietoa. Ja jos raha liikkuu, valtio alkaa vaatimaan veroja siitä. Verotus senkun vaan nousee ja nousee ja pienimuotoinenkin "veronkierto" tulee mahdottomaksi tavalliselle kansalle. Eliitti nyt ei tähänkään asti tietenkään veroja maksa, eikä heidän touhujaan syynätä, tietenkään!
Mitään järkeä tämmöisessä vahvan tunnistautumisen ajamisessa normaaliin ostamisiin ei tietenkään ole. Ai miksi ei ole?
  1. Luottokorteilla voi edelleen ostaa ilman tunnistautumista, eli varastettua luottokorttia voi väärinkäyttää kuten tähänkin asti, vahva tunnistautuminen ei estä tätä mitenkään. Luottokortin numeroilla voi myös tehdä itselleen vaikka fyysisen kortin ja käyttää sitä sekä kotimaassa kaikkialla, että ulkomaisissa nettikaupoissa aivan mielinmäärin, vahva tunnistauminen ei suojaa tätäkään mitenkään.
  2. Toisen ihmisen nimiin voi tilailla tavaraa edelleen laskuilla verkkokaupoista tai tehdä vaikka hotelli- ja lääkäriaikavarauksia jne, eli kiusantekoa ja petoksia vahva tunnistaminen ei estä millään muotoa.
  3. Kyseisissä sovelluksissa ja nettikaupoissa, joita tämä koskee, on asiakas jo tunnistettu aiemmin luotettavasti. Hän on siis oikea henkilö käyttämään kyseistä sovellusta tai nettikauppatiliä. Ja vaikka ei olisi, niin ks. kohta 2: Silti hänen nimissään voi tilata tuotteita laskulla jne. Tätäkään ei vahvan tunnistamisen vaatiminen korjaa mitenkään.
  4. Siinä missä sinun ja minun henkilöllisyys syynätään äärimmäisen tarkasti, niin maassamme on noin pyöreästi satatuhatta Ahmed Mehmediä, joiden todellisesta nimestä, tulomaasta ja täällä olosta ei ole, eikä tule olemaan, ikinä mitään tietoa. Päinvastoin, Ahmed Mehmedit voivat hakea vaikkapa yhden vahvan sähköisen tunnistamisjutun Suomesta, toisen Ruotsista eri nimellä, kolmannen Saksasta, neljännen Ranskasta, jne. He saavat juuri sen mukaisen identiteetin, minkä ovat kyseisen maan viranomaisille päästään keksineet. Heitäkään tämä valvonta ja oikeasti vahva tunnistautuminen ei tietenkään koske.
Tämä on todella huolestuttavaa kehitystä ja eipä ihme, että kuulen tästä vasta nyt ensimmäistä kertaa. Niin varmasti miltei jokainen suomalainen kuulee tästä vasta nyt ensimmäisen kerran. Tätä on huolella ja salassa valmisteltu, koska pelätään, että lampaat heräisivät ja suuttuisivat, kun tajuaisivat, millaiseen isovelivaltioon ollaan nyt kovaa vauhtia menossa.

Mutta turha on viranomaisten pelko. Ei tämä tyhmä kansa tajua, miten sitä jatkuvasti hivutetaan ja välillä otetaan jättiaskelia kohti täysin totalitaristista valtiota "porkkana ja keppi" taktiikalla. Ei tämä tyhmä kansa tajua silloinkaan, kun se on jo täysin pankkien ja viranomaisten orjuuttama. Ei sillä tosin ole siinä vaiheessa edes vaikutusta, koska siinä vaiheessa mitään ei voida enää tehdä ja kaikenlainen kapinointi tai systeemin muuttaminen on täysin mahdotonta. Ilmeisesti sitä tämä tyhmä kansa haluaakin. Sitä se on saamassakin.

18. toukokuuta 2019

Järkevä ja tehokas ratkaisu ihmisten sähköiseenKIN tunnistamiseen

Valtio selvittää parhaillaan vaihtoehtoja nykyiseen sähköisen tunnistamisen sotkuun. On HST-kortti, joka ei ole saavuttanut juuri mitään käyttöä, koska ihmiset eivät halua hankkia ja käyttää kortinlukijaohjelmistoja (eivätkä voi korttia matkapuhelimen kanssa edes käyttää). Sitten on myös mobiilivarmenne, joka voisi olla todella tehokas, mutta ihmiset eivät viitsi sitäkään hankkia ja käyttää, kun se maksaa ekstraa joka kuukausi. Eniten käytetty tunnistautumismuoto on yhä pankkitunnukset, koska ihmiset käyttävät niitä muutenkin, mutta tämä systeemi taas on riippuvainen pankeista ja pankit laskuttavat tietenkin tunnistetta haluavaa tahoa näistä aika röykeästikin. Jonkinlainen pin-koodilla suojattu valtion toimittama usb-tikku voisi olla ratkaisu, mutta siihen on vielä matkaa ja paljon, eikä systeemin huoltovarmuudesta ole mitään takeita. Todellakin, soppa on valmis ja valtio koettaa nyt selvittää, miten asiassa olisi syytä edetä.

Samaan aikaan meillä on kuitenkin jo olemassa Trafin Autoilija-sovellus, jolla voit tunnistaa henkilöllisyytesi postissa jne. sekä ajo-oikeutesi, aivan kuin sinulla olisi ajokortti kädessäsi - ja voit myös samalla sovelluksella tunnistaa kenen tahansa muun ajo-oikeuden tai henkilöllisyyden lukemalla hänen sovelluksestaan hänen luomansa tilapäisen QR-koodin. Miksi pitäisi siis keksiä pyörää uudestaan? Miksei tuota Autoilija-sovellusta voisi käyttää perustana yhden tunnistussovelluksen luomiseen, joka kävisi sekä ajokortin korvikkeesta, henkilökortin korvikkeesta ja myöskin vielä sähköiseenkin tunnistamiseen netissä ja arkielämässäkin?!? Kaksi näistä kolmestahan se on jo tälläkin hetkellä!

Alla esimerkki siitä, miltä ko sovellus näyttää ja miten se esittää henkilötietojen tarkistuksen jne. kun olet rekisteröinyt sen pankkitunnuksillasi ja näpyttänyt siihen pin-koodisi:

Mitäpä, jos tunnistamista kaipaava nettisivu tarjoaisi salattua yhteyttä pitkin kertakäyttöisen tunnisteen QR-koodina, jonka voisi lukea Autoilija-sovelluksella? Samalla tapaa, kuin Autoilija-sovellus tarjoaa luettaviksi muille tietoja QR-koodina ja osaa lukea muiden antamia tietoja QR-koodista (tai tarkemmin sanottuna se lukee QR-koodista valtuutuksen hakea ne tiedot netin kautta palvelimilta turvallisesti). Paras esimerkki tämmöisen käytännön toteutuksesta on se, miten WhatsApp Web tarjoaa QR-koodia puhelimesi WhatsApp-sovelluksellesi, kun haluat linkittää puhelimesi WhatsApp tilisi tietokoneesi ruudulle selaimesi kautta (ks. alla). Senkun luet tuon koodin puhelimesi WhatsApp sovelluksella ja hups! tilisi ja selaimesi onkin linkitetty nyt toisiinsa ja voit vastaanottaa ja lukea WhatsApp viestejäsi paitsi puhelimella niin myös selaimellasi!

Autoilija-sovellus lukisi tuon tunnistamista kaipaavan nettisivun tarjoaman saman tyyppisen QR-koodin - jos käyttäisit tietokonettasi, lukisit sen tietokoneen näytöltä puhelimesi kameralla (Autoilija-sovelluksesta) ja jos käyttäisit puhelimesi nettiselainta, sovellus voisi napata sieltä sen automaattisesti - purkaisi sen selkokielelle, varmistaisi, että sen lähettäjä on aito, rekisteröity taho tms. ja että se olisi aikamääreisesti jne. oikein, eikä väärennetty (aivan kuten WhatsApp tekee WhatsApp Web QR-koodille), sekä ilmoittaisi sitten käyttäjälle, mitä tietoja se sinusta haluaa ja kysyy, haluatko lähettää ne sille. Jos valitset "kyllä", Autoilija-sovellus pyytäisi sinulta pin-koodiasi ja oikean pin-koodin saatuaan lähettäisi QR-koodissa mainittuja tunnistetietoja käyttäen vastauksensa - vahvalla kryptografialla höystetyn (eli PKI:ta ja vahvoja kryptografisia tiivistefunktioita ynnä digitaalista allekirjoitusta) aika- ja juoksevalla numerolla koodatun vastauksesi puhelimesi kautta tuolle nettisivun määrittelemälle tunnistuspalvelimelle. Nettisivu, joka tunnistamista pyysi, saisi kaipaamansa vastauksen ja voisi siirtää sinut eteenpäin - tunnistettuna! Autoilija-sovellus pitäisi kirjaa kaikista tunnistautumisistasi, joten voisit myöhemmin tarkistaa, minne on tullut kirjauduttua ja milloin jne.

Kirjautuminen voisi tapahtua käytännössä esimerkiksi nettisivulla näin:



(Toki, mikäli ei haluta tehdä systeemiä edes näin monimutkaisesti, niin henkilöhän voi jo nykyistä Autoilija-sovellusta käyttäen tunnistautua vaikkapa nettisivuille yksinkertaisesti luetuttamalla tietokoneensa webbikameralla tuon nykyisen Autoilija-sovelluksen luoman tunnistautumis-QR-koodin sitä haluavalle nettisivulle. Nettisivu sitten lukee sen kautta henkilön tunnistetiedot luotettavasti ja voi kirjata henkilön sisälle palveluunsa turvallisesti.)

Hommahan olisi aivan älyttömän kätevä ja turvallinen. Eikä tarvitsisi keksiä pyörää uudestaan, eikä maksaa maltaita ulkopuoliselle taholle tunnistuksen toteuttamisesta.

Kuten sanoin, nykyiselläänkin Autoilija-sovellus käy fyysisestä ajokortista ja henkilöllisyyden tunnistamisesta, joten olisi täyttä pähkähulluutta kehittää jotain toista sovellusta tai kokonaan eri laitetta sitten vielä sähköistä tunnistamista varten! Lisättäkööt moinen ominaisuus tuohon jo olemassa olevaan sovellukseen (ja ehkä sovelluksen nimi vaihtoon, esim. Tunnistussovellus tms.), niin yhdellä sovelluksella puhelimessa voi hoitaa kaikki ihmisen tarvitsemat tunnistautumisjutut kerralla! Ei ole tarvetta enää kantaa sen enempää ajokorttia tai henkilökorttiakaan mukanaan, eikä mitään tarvetta hankkia vaikkapa mobiilivarmennetta tms. tai edes pankkitunnuksia - pankkitunnistautuminenkin voisi hoitua tuolla sovelluksella. Hyvällä lykyllä monet nettisivustotkin voisivat alkaa tunnistamaan käyttäjäänsä tuon sovelluksen kautta, jos systeemin toteutus tehdään järkevästi. Puhelimitse tapahtuvaan "vähemmän turvalliseen - mutta luultavasti ihan riittävän turvalliseen - tunnistamiseenhan" on jo olemassa yksi aiemmin esittelemäni keino nykyisen "mikä sun hetu on?" -epäturvallisen kyselyn sijaan.

Porkkanana tässä Autoilija-sovelluksen edelleenkehittämisessä olisi tietenkin se, että kun se olisi oikeasti hyvä ja KORVAISI muita systeemeitä, eli muovista ajokorttia ja muovista henkilökorttia. Tämmöistä etua muilla sähköisen tunnistamisen systeemeillä (HST-korttia lukuunottamatta) ei ole. Juuri tässä voisi olla se porkkana, jolla ihmiset saataisiin käyttämään tämmöistä tunnistautumissysteemiä. Todella loistava houkutin. Ihmiset voisivat paitsi jättää ajokorttinsa ja henkilökorttinsa kotiin, niin myöskin tunnistautua netissä tällä yhdellä sovelluksella. Tämä voisi olla se vetovoimatekijä, joka saisi ihmiset innostumaan tästä ja alkamaan käyttämään tätä tunnistautumismuotoa muihin verrattuna ylivoimaisesti eniten!

Myöhemmin tämän tunnistamissovelluksen tietoihin voidaan lisätä vaikkapa tunnistettavan sormenjäljet tai iiriskuva, mikäli pelkän valokuvan ja toimivan, pin-koodilla avatun sovelluksen sisältöineen ei katsota olevan riittävän hyvä tunnistamaan sitä, onko väitetty henkilö todellakin sovelluksessa oleva henkilö (vaiko vaan joku, joka on saanut ko. henkilön puhelimen ja pin-koodit varastettua ja näyttää samankaltaiselta kuin ko. henkilö). Lisätunnistautuminen voisi olla tarpeen esim. pankin tiskillä asioidessa...siinä henkilö lukisi tiskiltä siellä esitetyn QR-koodin, tunnistautuisi sovelluksellaan kuten netissäkin ja vielä antaisi iiriksensä tai sormenjälkensä luettavaksi pankin lukulaitteeseen...sen varmemmaksi ei tunnistaminen voisi enää mitenkään tulla ja identiteettivarkauksien määrä putoaisi pyöreään nollaan.

Tietenkin tämmöinen tunnistautumisjuttu pitäisi myös alunperin asentaa turvallisesti, eli asiakas pitäisi tunnistaa vahvaa sähköistä tunnistamista käyttäen ja mieluusti tämän lisäksi vielä saada esim. tunnistekoodi vaikkapa postitse vakituiseen asuinosoitteeseen poliisilaitokselta tai Väestörekisterikeskukselta. Näin varmistetaan, että edes pankkitunnukset varastanut henkilö ei voisi käyttää tätä systeemiä väärin toisen nimiin. Tähän tapaahan esimerkiksi HST-kortti ja Nordean tunnuslukulaite aktivoidaan ja hyvä niin.

Tässäpä ilmainen vinkki ko. sovelluksen kehittäjille ja valtiolle, toivottavasti otatte vinkistä vaarin!




PPS. Niin, mutta mitä ne kaikki vanhukset, jotka eivät moista halua, eivätkä muka osaisi käyttää? No, käyttäkööt vaikkapa pankkitunnistautumista sitten koodilaitteineen, kuten nytkin käyttävät. Ei heitä HST-korttia, mobiilivarmennetta, tunnuslukusovellusta tai usb-tikkuakaan saa kuitenkaan käyttämään mitenkään yhtään sen helpommin. Luultavasti järkevällä opastuksella hekin voisivat ostaa edullisen Android Go -puhelimen ja siirtyä senkin avulla digiaikaan ja myös tuon sovelluksen käyttöön.

2. toukokuuta 2019

Lähetin tämmöisen al-Taee liittyen VKSV:lle ja Helsingin poliisille

From: m*****jansson@protonmail.ch
To: VKSV@oikeus.fi; kirjaamo.helsinki@poliisi.fi
Subject: Tärkeä huomio tapaus Hussein al-Taee liittyen

Hei!

Julkisuudessa on puhuttu, että Hussein al-Taeen teot olisivat rikosoikeudellisesti vanhentuneet, koska ko. julkaisujen julkaisemisajankohdasta on kulunut jopa 5 vuotta. Tämä väite on perätön ja pyydän, että valtakunnansyyttäjänvirasto ja poliisi korjaa asian viipymättä ja saattaa sen myös tutkintaa tekeville poliiseille, sekä sittemmin asiaa ajavalle syyttäjälle tiedoksi.

Rikoslain 8. luvun 2 §:n 2 momentin mukaan siinä tapauksessa, että rikolliseen tekoon sisältyy lainvastaisen asiaintilan ylläpitäminen, syyteoikeuden vanhentumisaika alkaa vasta sellaisen tilan päättymisestä.

Al-Taeen kohdalla tämä tarkoittaa, että vanhenemisaika alkaa vasta siitä hetkestä, kun ko. kirjoitukset on poistettu netistä. Ne ovat ilmeisesti olleet siellä todistettavasti ainakin vielä 2019 keväällä, kun kohu alkoi, joten asia voi rikosoikeudellisesti vanhentua vasta keväällä 2024.

Tämä tulkinta nettikirjoituksissa on ollut minunkin kiihotus- ja uskonrauhanrikkomisrikosjuttujeni kohdalla, niissäkin on vedottu siihen, että lainvastainen asiantila on ollut voimassa niin kauan, kun ko. kirjoitukset ovat internetissä saatavilla olleet. On siten myös yhdenvertaisuuslain mukaista, että myös Hussein al-Taee kohdalla asia tulkitaan samoin, kuin myös minun kohdallani, koska kaikkihan me olemme tasa-arvoisia lain edessä, vai...?

Pyydän lyhyen vastauskuittauksen, että tiedän teidän lukeneen tämän viestini, siis olevan tietoinen tästä asiasta.

Markus Jansson
Rauma



3.5.2019 edit:
Tuli vastaus VKSV:ltä, jossa kerrottiin, että kertomani asia on otettu huomioon. Loistavaa.

1. toukokuuta 2019

Lainoppineet valehtelevat törkeästi: Hussein al-Taee rikokset EIVÄT OLE VANHENTUNEET!

Taas nähdään, miten epäyhdenvertainen Suomen oikeuslaitos on. Kun minä kiihotan kansanryhmää vastaan tai rikon uskonrauhaa kirjoituksillani, sanotaan, että jutun syyteoikeus EI ALA VANHENTUA, ENNEN KUIN KYSEISET JULKAISUT OVAT POISTUNEET YLEISÖN SAATAVILTA. Kun kiiltokuvamatu Hussein al-Taee (jos tämä on edes hänen oikea nimensä) kiihottaa kansanryhmää vastaan tai rikkoo uskonrauhaa, sanotaan lainoppineiden suulla, että jutun syyteoikeus ALKAA VANHENTUA HETI SIITÄ HETKESTÄ, KUN KYSEISET JULKAISUT ON LAITETTU YLEISÖN SAATAVILLE.

Toki samanlaista logiikkaa oli myös ns. case Mänttilahden osalta, kun minä olin rikoksen uhri: Syyttäjä pokkana väitti, että syyteoikeus oli vanhentunut, koska se mukamas katsotaan alkavan vanhentua siitä hetkestä, kun kirjoitukset on nettiin laitettu. Jännää, miten minun kohdallani syyteoikeuden vanhenemisen tulkinta riippuu täysin siitä, onko se minulle epäedullista tai edullista! Ja jotkut idiootit vielä luulevat, että minä (tai kukaan kansallismielinen) voi saada oikeutta Suomessa, tai että suomalaiseen oikeuslaitokseen voi luottaa! HUUTONAURUA!

Laki on asiasta kuitenkin täysin selvä: Rikoslain 8. luvun 2 §:n 2 momentin mukaan siinä tapauksessa, että rikolliseen tekoon sisältyy lainvastaisen asiaintilan ylläpitäminen, syyteoikeuden vanhentumisaika alkaa vasta sellaisen tilan päättymisestä. Toisin sanoen, aivan kuten minun kohdallani on aina ollut ja tulee aina olemaankin, eli syyteoikeuden vanheneminen alkaa siitä hetkestä, kun kyseinen kirjoitus POISTUU NETISTÄ.

Ei, tämä ei ole tulkintakysymys. Ei, tämä ei ole mielipide. Ei, tämä ei ole väite. Tämä on fakta. Karu, kylmä, 100% looginen fakta, joka ei riipu siitä, mitä mieltä sinä, oikeuslaitos tai kukaan tai mikään taho maailmassa siitä on.

Kiihotuksen ja uskonrauhan rikkomisen asiantila on nettikirjoituksen osalta se, että kun kirjoitus on yleisön saatavilla, se voi kiihottaa tai rikkoa uskonrauhaa. Näin ollen rikollinen asiantila on voimassa. Kun ko. kirjoitus poistuu yleisön saatavilta, asiantila lakkaa, koska kirjoitus ei olemattomana voi enää kiihottaa, eikä rikkoa uskonrauhaa. Ja kun asiantila lakkaa, alkaa juoksemaan tuo jutun vanhenemisen kello. Ei ennen, eikä jälkeen, vaan juuri prikulleen silloin.

Mutta, kuten nähty, Suomi ei ole oikeusvaltio. Viranomaiset ja oikeusoppineet ja koko oikeuslaitos tulkitsee näitä lakeja täysin mielivaltaisesti sen mukaan, kuka on uhrina ja kuka on tekijänä. Yhdenvertaisuus lain edessä on pelkkä vitsi Suomessa ja taas kerran se nähdään ja taas kerran aivopestyt idiootit lampaat kieltäytyvät näkemästä sitä, vaikka se heille hopeatarjottimilla naaman eteen tyrkytetään. Suomalainen idiootti lammas on todellakin aivan poikkeuksellisen vajaaälyinen ja epälooginen, kun ei millään kykene näin selvääkään asiaa tajuamaan mitenkään millään muotoa.

PS. Tein piruuttani asiasta rikosilmoituksen poliisille vain, jotta voitte nähdä omin silmin, miten asiaa ei tulla tutkimaan ja Hussein ei tule saamaan syytteitä, eikä tuomiota, koska Hussein on kiiltokuvamatu, jonka kaikkia tekosia hyssytellään Suomessa.



29. huhtikuuta 2019

Jos vastustat joukkoraiskausta, vastustat demokratiaa!

5/6 joukkoraiskaukseen osallisista hyväksyy sen
Kun ihmisjoukko ottaa lompakkosi ilman lupaasi, sitä kutsutaan ryöstöksi. Kun sama ihmisjoukko pistää pystyyn äänestyksen ja ottaa lompakkosi ilman lupaasi äänin 10-1, sitä kutsutaan demokraattisesti päätetyksi verotukseksi. Kun ihmisjoukko päättää, että et saa kasvattaa tiettyä kasvia kotonasi, sitä kutsutaan törkeäksi kotirauhan rikkomiseksi ja yksityiselämään kajoamiseksi. Kun sama ihmisjoukko pistää pystyyn äänestyksen ja kieltää kasvisi äänin 10-1, sekä heittää sinut vankilaan, sitä kutsutaan demokraattisesti päätetyksi huumausainepolitiikaksi. Esimerkkejä voisi jatkaa vaikka miten pitkään.

Joukkoraiskauskin on vain demokraattinen tapahtuma, jota yhdelläkään demokratiaa kannattavalla ei ole oikeutta moittia millään muotoa. Siinä ryhmä ihmisiä kokoontuu yhteen ja päättää äänestää, harrastetaanko henkilön X kanssa joukolla seksiä vaiko ei. Yleensä äänestyksen tulos on, että äänin esim. 5-1 päätetään, että henkilön X kanssa harjoitetaan seksiä. Henkilön X suostumuksella ei ole merkitystä, koska demokratiassahan voidaan enemmistön päätöksellä kumota yksilön omat oikeudet omaan kehoonsa (esim. asepalvelus, aktiivimalli, jne.) ja omaisuuteensa (verotus jne.), eikä tässä ole kenenkään demokratiaa kannattavan mukaan mitään vikaa. Jos henkilöä X harmittaa tämä päätös ja sen seuraukset, hänen pitää vain ensi kerralla tehdä kovemmin vaalityötä tai vain yksinkertaisesti äänestää paremmin!

Henkilön X pitää nyt vain hyväksyä tämä demokraattinen päätös siitä, että hänet joukkoraiskataan, eikä olla joku kaamea fasistisikanatsipelle, joka vastustaa demokratiaa! Olisihan se törkeää, jos joku kehtaisi vieläpä julkisesti sanoa, että ei hyväksy demokraattisesti päätettyjä asioita! Sehän on demokratian vastaista toimintaa, koko yhteiskuntamme perustan julkeaa halventamista ja koko länsimaisen monisatavuotisen humanistisen kehityksen romuttamista, että kyseenalaistaa demokratian oikeutuksen!

Erityisen selväksi joukkoraiskausten oikeutus tulee silloin, kun joukkoraiskauksen uhri tosiasiallisesti haluaa joukkoraiskausta tapahtuvaksi itselleen tai muille. Usein toki joukkoraiskauksen uhri sanoo, ettei haluaisi sitä itselleen, ainoastaan jotenkin epämääräisesti "muille", mutta mehän tiedämme etiikan opeista, että tämmöinen perustelu ei ole pätevä: Kenelläkään ei voi olla erilaisia oikeuksia toisiin nähden ja itselleen ei pidä saada mitään, mitä muutkaan eivät saa saada ja päinvastoin - mitä muut voivat saavat, kuuluu myös sinulle saatavaksi. Tämä on vähän sama juttu kuin Vihreillä ja tuulivoimaloilla ja energiansäästöillä: Vihreiden mielestä niitä pitää ehdottomasti kannattaa, mutta niin, etteivät ne juuri ko. tiettyä vihreää itseään koske millään muotoa (ts. tuulimyllyt pois näkyvistä ja rajoittakoot muut lentomatkusteluaan, en minä!).

Karu fakta on, että esimerkiksi viime vaaleissa miltei 90% suomalaisista äänesti jotain muuta puoluetta kuin PS ja SKE jne. toisinsanoen, hyväksyy Suomen joukkoraiskauskulttuuristamisen. Toisin sanoen hyväksyy sen, että Suomessa joukkoraiskaukset tulevat lisääntymään entisestään. Toisin sanoan hyväksyy sen, että ihmisiä tullaan joukkoraiskaamaan hirveissä määrin jatkossa. Toisin sanoen hyväksyy senkin, että hänet itsensäkin tullaan joukkoraiskaamaan jatkossakin.

Ainoat, joilla on oikeus arvostella joukkoraiskauksia ja keitä on väärin joukkoraiskata, ovat loogisesti tarkasteltuna vain ne ihmiset, jotka sekä A) Vastustavat demokratiaa eli enemmistön tyranniaa päätöksentekomenetelmänä ja B) Itse toimivat aktiivisesti joukkoraiskauskulttuuristamista vastaan, vaikkapa äänestämällä PS, SKE jne. tms. Kenelläkään muulla ei ole mitään oikeutta millään muotoa arvostella joukkoraiskauksia, ei luonnollisestikaan edes silloin, kun joutuu itse niiden uhriksi.

24. huhtikuuta 2019

Ilmastonmuutos on (sekin) (edelleenkin) vain (yksi) Vihreä Valhe

Olen käsitellyt tätä aihepiiriä blogissani (1, 2, 34, 5, 6, 7, 8, jne.) ja videoillani (12 jne.) runsaasti, mutta lienee taas aika vääntää lisää rautalankaa ja kertoa pari ajankohtaista esimerkkejä jo aiemmin julkaistujen hyvien lähteiden lisäksi (1, 2, 3, 4, 5, jne.). Ilmastonmuutosuskontohan on vain yksi lukemattomista kulttuurimarxistien luomista Vihreistä Valheista, joilla pyritään kontrolloimaan ihmisten elämää ja koko yhteiskuntaa, sekä kietomaan se uususkonnon, Vihreän Uskonnon alaisuuteen. Lopulta kyse on vain rahasta ja vallasta, ei mistään muusta. Ilmaston tai ympäristön kanssa koko asialla ei ole, eikä ole koskaan ollutkaan, eikä tule koskaan olemaankaan, yhtään mitään tekemistä.

Laitetaan kertauksen vuoksi kohtuutuore videonikin tästä kaikesta:


Naurahdin, kun törmäsin tähän Zerohedgen juttuun, jossa käydään hieman läpi ilmastonmuutoshuijausta ja ilmastoalarmismia 50 vuoden ajalta. En lähde sen enempää käymään tuota Vihreää Tunkiota läpi, kunhan totean vain, että tämä ilmastovoohotus ei ole mikään uusi asia. Punavihreät ovat sitä ajaneet jo todella pitkään, viime aikoina vain tämä umpihullu rummutus on saanut entistä enemmän puhtia, kun eri puolueiden punavihreät haluavat itselleen entistä enemmän valtaa ja ovat huomanneet, miten sitä voi tällä agendalla yhä saada lampailta. Summaan vaan lyhyesti tuon artikkelin: Jos punavihreän uskonnon ylipappeja olisi uskominen, maailma olisi jo peruuttamattomasti tuhoutunut tai ainakin peruuttamattomasti tuhoon tuomittu jo lukuisia kertoja viimeisten vuosikymmenten aikana. No, täällä nyt kuitenkin yhä ollaan ja parempaan suuntaan vaan mennään, joten selkopäiselle ihmiselle tämänkin pitäisi jo itsessäänkin todistaa Vihreä Valhe! Nekin, jotka yhä uskovat Vihreään Valheeseen, pitäisi Vihreän Valheen oppien mukaan myöntää sitten myös se Vihreä Valhe, että asialle ei enää voi tehdä mitään ja olemme jo tuhoon tuomittuja - joten mitään järkeä edes yrittää tehdä enää mitään, ei ole, eikä voi olla.

Toistan:
  • Jos olet fiksu, et usko Vihreään Valheeseen, joten kaikenlainen CO2 sekoilu, päästökauppa ja muu viherhullutus voidaan lopettaa samantien hyödyttömänä ajan- ja rahanhukkana.
  • Jos olet tyhmä, uskot Vihreään Valheeseen, mutta silloin sinun pitää myös uskoa, että mitään ei ole voitu enää vuosikymmeniin tehdä maapallon ja ihmiskunnan pelastamiseksi, joten kaikenlainen CO2 sekoilu, päästökauppa ja muu touhu voidaan lopettaa samantien hyödyttömänä ajan- ja rahanhukkana.

Lukekaa tuo yllä oleva niin monta kertaa, että ymmärrätte varmasti, miten hulluja ja epäloogisia nämä punavihreät kulttuurimarxistit ovat ja miten hullua nykyinen ilmastovoohotus on.

Surkuhupaisaa oli myös lukea tätä uusinta rummutusta tästä Greta Thunbergistä, josta mädätysmedia maalaa uutta Ilmastonmuutosuskonnon Messiasta. Tosiasiassa tätä tyttöä käytetään törkeästi hyväksi, mahdollisesti hänen aspergeristaan johtuen (aspergerit ovat alttiita hyväksikäytölle, koska eivät osaa kyseenalaistaa muiden motiiveita): Hänen kampanjaansa rahoittaa Soros, jonka pitäisi jo kertoa kaikille aivan kaikki olennainen koko asiasta ja hänen vanhempansa ilmeisesti pyörittävät itse punaviherhörhöinä koko showta kulisseissa. Näinhän tämä aina menee. Joka ikinen kerta. Aina nämä Vihreät Valheet ovat valheita ja aina ne paljastuvat, mutta punavihreitä kulttuurimarxisteja tämä ei tietenkään pysäytä, vaan homma senkun jatkuu kohta uusilla kasvoilla ja teemoilla. Kuten tähänkin asti.

Ihmisten pitää oikeasti ymmärtää, että kaikki punavihreät puolueet ja muut ilmastonmuutosuskontoa ja muuta Vihreää Valhetta edistävät tahot ovat huijareita ja valehtelijoita. Kaikki. No, joukossa on toki kasapäin hyväksikäytettyjä hölmöjä, mutta koko shown arkkitehdit ja johto ja koko juttu sinällään on 100% kusetusta. Punavihreitä kulttuurimarxisteja ei pidä uskoa. Ei yhtään missään asiassa, kuten ei muutenkaan ketään muutakaan patologisesti valehtelevaa huijaria ei pidä ikinä uskoa missään asiassa. Ei yhtään missään asiassa, ei yhtään mistään syystä, eikä heidän kanssaan kannata edes olla missään tekemisissä. Kannattaa pitää heitä ikäänkuin verkostomarkkinointia harrastavina kiihko-uskovaisina: He eivät halua sinun tai maapallon parasta ja he tulevat kusettamaan sinua minkä vaan ikinä ehtivät, älä haaskaa aikaasi heidän kanssaan mihinkään, koska et voi ikinä voittaa sillä yhtään mitään, vain ja ainoastaan hävitä, koska heitä ei voi selkopäisiksi käännyttää millään faktoilla sen enempää, kuin ovellasi käyvää jehovantodistajaa tai Onecoin-uskovaista.

22. huhtikuuta 2019

Potentiaalinen tietoturvaongelma Nordean tunnuslukusovelluksessa

Havaitsin tässä hyvin mielenkiintoisen, potentiaalisen tietoturvaongelman Nordean tunnuslukusovelluksessa, joka luultavasti on myös muissa samanlaisissa, toisten pankkien tunnuslukusovelluksissa. Niissä ei nimittäin saa tietoonsa, minkä toimenpiteen tarkkaan ottaen on hyväksymässä netissä tai muussa palveluksessa tuolla sovelluksella. Esimerkiksi mobiilivarmenteessa tämän tiedon saa (tunnistuspyyntö nro XXXXX), voiden siten itse varmistaa, että todellakin on hyväksymässä juuri täsmälleen sitä asiaa, minkä netissä on klikannut hyväksyttäväksi, ks. alla.



On totta, että tunnuslukusovellus kertoo kyllä, onko kyseessä kirjautuminen vai esimerkiksi tietyn suuruisen laskun maksaminen. Mutta sovellus ei kerro, mistä ja mikä juttu esimerkiksi sisäänkirjautumisessa on kysymyksessä ja mistä se on peräisin, koska tapahtumaa ei sinällään eritellä mitenkään muista vastaavista esimerkiksi juuri tapahtumanumerolla (kuten mobiilivarmenteessa).

Huomasin tämän itse, kun puolihuolimattomasti olin kirjautumassa eräällä netin pelisivustolla sisälle (luulin kyseessä olevan tunnistautumisen, mutta ei ollutkaan) ja sain tunnuslukusovellukseeni vain hyväksymispyynnön sisäänkirjautumisesta nettipankkiini. Tosiasiassa minä en ollut kirjautumassa nettipankkiini, vaan tuo sivusto oli kirjauduttamassa minua sinne sisälle - näinhän sen ei pitäisi tietenkään mennä!

Tämän lisäksi tuli toinen ongelma: Tuosta kirjautumisyrityksestä ei tahtonut päästä millään eroon! Aina, kun avasin tunnuslukusovelluksen, se ruikutti sisäänkirjautumista. Tämä sama sisäänkirjautuminen oli siis yhä "menossa". Luonnollisestikaan en voinut itse kirjautua nyt omaan nettipankkiini, koska en olisi voinut mitenkään tietää, olenko hyväksymässä tunnuslukusovelluksessani oman sisäänkirjautumiseni nettipankkiini - vaiko nettisivuston sisäänkirjautumisyrityksen nettipankkiini!!! Lopulta pääsin ongelmasta ilmeisesti eroon, kun pysäytin tunnuslukusovelluksen ja tyhjensin sen cachen - asioita, joita tavallinen käyttäjä ei edes osaa tehdä.

Miten tätä aukkoa voisi sitten käyttää hyväksi?
  1. Käyttäjän epähuomiossa, kuten minulla meinasi käydä.
  2. Seuraamalla käyttäjän nettiliikennettä ja reagoimalla, kun käyttäjä menee itse nettipankkinsa sivuille (sisältöä ei voi selvittää salauksen vuoksi, mutta sivulla käymisen voi) ja syöttää vasta tuolloin hyökkäjän toimesta hyökkääjän kautta sisäänkirjautumisen - käyttäjä hyväksyy sen tunnuslukusovelluksessaan, luullen sen olevan hänen nettipankkinsa sisäänkirjautuminen (vaikka se onkin hyökkääjän sisäänkirjautuminen toisella puolen maapalloa). Tämä edellyttää toki, että käyttäjän nettipankkitunnusnumero on hyökkääjän tiedossa.
  3. Häirintänä käyttäjää kohtaan, aktivoimalla loputtomasti kirjautumisia tunnuslukusovelluksessa nettipankkisivujen kautta (joko satunnaisille käyttäjille jos nettipankin tunnusnumero ei ole tiedossa, tai tietylle käyttäjälle jos nettipankin tunnusnumero on tiedossa).
Tämän ei pitäisi todellakaan mennä näin.

Netissä suoritettavissa toimenpiteissä pitäisi olla tunnistenumero, joka olisi esim. tyyliin SHA256(nettisivunosoite+vuosipäivämääräkellonaikasekunnilleen+juoksevatapahtumanumero) tiivistettynä vaikkapa 5-numeroiseksi luvuksi ja tunnuslukusovelluksen kirjautumis/hyväksymisruudussa pitäisi sitten näkyä sama tunnistenumero/luku. Jos näkyy, henkilö voi olla varma, että on hyväksymässä juurikin sitä toimenpidettä, minkä on nettisivulla laittanut hyväksyttäväksi. Jos samaa lukua ei näy, henkilö voi olla varma, että on hyväksymässä nyt jotain aivan muuta ja voi hylätä ko. tunnistautumisen kokonaan. (Niin, tunnistautuminen pitäisi myös voida hylätä, eikä vain "olla hyväksymättä", ne kun ovat kaksi eri asiaa.) Toisin sanoen homman tulisi toimia aivan kuten se toimii mobiilivarmenteella tunnistauduttaessa.



PS. Pistin asiasta Nordeaan viestiä ja tägäsin heidät Twitter-postaukseeni, mutta julkaisen tuon silti  tietoturva-aukkohavainnon heti, koska vituttaa Nordean suhtautuminen kansallismielisiin ja FDL tilin sulkemiseen.

"Juliste seinällä"

Olen kirjoittanut blogissani paljonkin maanpuolustuksen kehittämisestä (esim. tämä ja tämä) ja erilaisista uhkakuvista (esim. tämä, tämä, tämä ja tämä), sekä niihin varautumisesta. Ajattelin nyt tehdä oman versioni "julisteesta seinällä" (plakaten på veggen) juuri näihin juttuihin liittyen. 

Suomen nykyinen lainsäädäntö on nimittäin oikeasti niin umpihullu, että jos eduskuntaa ei saada koolle kutsuttua ja puolustustilaa eduskunnan äänestämällä käyttöön otetuksi, esimerkiksi liikekannallepano ja sotatoimet maahantunkeutujaa kohtaan eivät yksinkertaisesti ole mahdollisia. Niin ikään, jos Helsinkiin ilmestyisi joku päivä "pieniä vihreitä miehiä" rynnäkkökiväärit kädessä, niin ainoa, mitä voisi seurata olisi, että poliisipartiot menisivät kyselemään heiltä aselupien perään. Jos sitten joku suomalainen ottaisi aseensa ja ampuisi näitä "pieniä vihreitä miehiä" kuoliaaksi, niin poliisi heittäisi hänet vankilaan murhasta. Laki ja määräykset eivät anna näet muuhun mahdollisuutta ja täällä hölmölandiassa ei tietenkään muuta osata, kuin noudattaa kirjaimellisesti lakia (paitsi kun lakeja pitää viranomaisten omien törttöilyjen vuoksi rikkoa tavallista kansalaista kohtaan).

Suomi siis todellakin tarvitsee oman "juliste seinällä", kuten Norjassa on jo vuosikymmenet ollut.  Tämmöinen juliste tulisi kiinnittää jokaisen armeijan yksikön, jokaisen viranomaisen toimipisteen ja jokaisen kunnan jne. julkiselle ilmoitustaululle pysyvästi, sekä antaa jokaiselle varusmiehelle vielä erikseen käteen palvelusaikana. Koska puhelinluetteloita ei enää ole, ei tätä voi sinnekään laittaa, joten ehkä tämmöisen voisi kerran vuosikymmenessä postittaa jokaiseen suomalaiseen talouteenkin, ihan vaan muistutukseksi ja tiedoksi.

Tuossa siis tuo minun versioni, vapaasti jaettavaksi ja käyttöön otettavaksi. Kyseisen "Julisteen seinällä" voit ladata vähän virallisemman näköisempänä pdf:nä tästä sekä tekstiversiona tästä ja kuvana tästä (helpoin ehkä lukea).
Klikkaa isommaksi yläpuolelta tai lataa koko kuva.

19. huhtikuuta 2019

Aluehallintovirasto: Mari ja Marco lastensuojelukiusaaminen ei edellytä toimenpiteitä

Mari Kosonen ja Marco de Wit ovat joutuneet jatkuvan lastensuojeluterrorin kohteeksi, koska eräät häiriintyneet suvakit tehtailevat heistä perättömiä lasuilmoituksia. Lastensuojeluviranomaisia, eikä edes poliisia kiinnosta selvittää asioita sen vertaa, että perättömiä ilmoituksia tekeviä saataisiin kuriin ja lasu lopettaisi ilmiselvästi perättömien ilmoitusten selvittelyn. Tästä johtuen tein asiasta hallintokantelun Tampereen aluehallintovirastolle (Marin ja Marcon luvalla) ja nyt sieltä tuli vastaus.

Voitte lukea alkuperäiset paperit alta, mutta summaan lyhyesti, mitä minä valitin ja millä sanoin minulle vastattiin. Pääpointtini olivat seuraavat kolme kohtaa:

1. Tampereen lastensuojelun viranomaiset eivät ole tehneet asioista rikosilmoituksia, vaikka kyseessä on yleisen syyttäjän alainen rikos, jonka uhreina lastensuojelun henkilökunta on ja jota on jatkunut jo hyvin pitkään. RL 15. luvun 2§ ja 6§ mukaisesti perättömän lausunnon antaminen myös lastensuojeluviranomaiselle on rikos. Viranomainen antaa siis itsensä olla rikoksen uhri ja poliittisen vainon välikappale, eikä välitä asiasta mitään, eli rikkoo myös virkavelvollisuuttaan RL 40. luvun 9§ mukaisesti.

2. Tampereen lastensuojelu on itse syyllistynyt RL 25. luku 7a§ mukaisesti vainoamiseen, kun se on oikeudettomasti ollut yhteydessä ja häirinnyt Maria ja Marcoa. Oikeudettomasti, koska kyseiset ilmoitukset ovat ilmeisen perättömiä ja on jo lukuisia kertoja selvitetty, että lastensuojelun tarvetta ei ole. Tämäkin on toki virkavelvollisuuden rikkominen.

3. Tampereen lastensuojelu on itse rikkonut törkeästi virkavelvollisuuttaan (RL 40.luvun 10§), kun se on laittomasti estänyt ja kieltänyt Maria ja Marcoa nauhoittamasta lastensuojelun tapaamisiaan, tästähän olen vääntänyt jo esim. tässä blogikirjoituksessani.

Esitin useita ratkaisuja, mm. rikosilmoitusten tekemistä, virkalijoiden ojentamista, lasuilmoitusten käsittelyn keskeyttämistä toistaiseksi jne. Tietenkään mitään näistä ei tehty. 

Aluehallintoviraston vastaus oli lyhykäisyydessään, että mitään ei tehdä, koska en ole esittänyt asiasta todisteita. Tietenkään en ole, koska minulla ei ole, eikä voi olla, lastensuojelun omia raportteja asioista, mutta toki lyhyellä googlettelulla olisi löytynyt mm. Mari ja Marcon itsensä tekemävät videot asioista (jotka tietenkään eivät olisi olleet mikään todiste mistään niih). Aluehallintoviraston tehtävänä ei ole kuitenkaan toimia oikeusistuimena, jonne ulkopuoliset raahaavat todisteita, vaan nimenomaan itse TUTKIA kanteluita ja selvittää, onko niissä perää. Aluehallintovirasto olisi voinut yksinkertaisesti soittaa vaikkapa Tampereen lastensuojeluun ja kysyä, mitä siellä oikein on tapahtunut vai onko, tai ottaa yhteyttä Mariin ja Marcoon ja kysyä heiltä (jota toki en itse pitänyt tarpeellisena enkä edes järkevänä, koska se vain lisäisi Marin ja Marcon ajanhukkaa asiassa). Näin Aluehallintovirasto ei tietenkään tehnyt, eli ei siis TUTKINUT asiaa.

Kun ei tutkita, ei tietenkään voida mitään löytääkkään. Kun ei mitään löydetä, ei tietenkään voi olla todisteitakaan mistään. Ja kun ei ole todisteita, voidaankin kätevästi väittää, että mitään ei tarvitse tutkiakkaan. Kätevää. Näinhän viranomaiset yleensäkin Suomessa toimivat.



Kanteluni





Vastaus






PS. Koska ilmeisesti perättömien lastensuojeluilmoitusten tekeminen ei ole rikos, eikä sitä tutkita rikoksena ja kaikki lasuilmoitukset kuitenkin käsitellään pakosta aina läpikotaisin, niin kannattaa varmaan alkaa tehtailemaan lasuilmoituksia suvakeista, poliiseista, poliitikoista, virkamiehistä ja tuomareista. Sehän ei ilmeisesti ole rikos, koska sitä ei tarvitse lasun, eikä aluehallintovirastonkaan tutkia.