Kommentti: kohtele nettiliikennettä kuin postikorttia
Tämäkin teksti todennäköisesti sujahtaa jossain vaiheessa Yhdysvaltain sisäistä turvallisuutta valvovan NSA:n skannerin läpi, ainakin jos joku päättää jakaa linkin Facebookissa.
Eilen paljastui, että NSA skannaa käytännössä kaiken isojen Yhdysvalloissa sijaitsevien nettipalveluiden läpi menevän liikenteen, ainakin jos on pienikin syy epäillä sitä ulkomaalaisten käymäksi.
Washington Postin ja Guardianin skuupit ovat merkittäviä siksi, että ne vahvistavat valvonnan olemassaolon ja sen laajuuden, eivät niinkään siksi, että ne paljastivat valvonnan. Yhdysvaltain viranomaisten kattavasta vakoilujärjestelmästä on huhuttu jo pitkään ja loogisesti ajateltuna jonkinlaisen seurantajärjestelmän olemassaolon ei pitäisi tulla kenellekään yllätyksenä.
Käytännössä siis mikään Gmailin, Hotmailin, Facebookin, Skypen, iMessagen tai monen muun palvelun kautta lähetetty yksityisviesti ei ole yksityinen, vaan se kulkee avainsanoja tai muita merkkejä ja yhteyksiä etsivän järjestelmän läpi. Sama pätee tiedostoja tallentaviin pilvipalveluihin. Älä tallenna pilveen mitään, mitä et missään tapauksessa haluaisi päästää julkiseen levitykseen. Tilanne ei ole miellyttävä ja massiivinen sekä kaiken kattava tiedonkeruu voi olla yksilön kannalta ongelma tulevaisuudessa. Jos haluaa löytää asiasta jotain positiivista, niin julkisuudessa käyty keskustelu on ainakin omiaan herättämään ihmiset ajattelemaan yksityisyyttään.
Jos aiemmin ei ole vielä sitä tehnyt, nyt viimeistään nettiliikenteeseen kannattaa suhtautua kuin postikortin lähettämiseen. Avoimeen korttiin kukaan tuskin kirjoittaa suurimpia salaisuuksiaan, vaan lomalta kerrotaan, että aurinko paistaa ja nyt ollaan sisätiloissa, kun naama paloi jo ensimmäisenä päivänä. Kortteja voidaan silti lähetellä, koska ei haittaa, vaikka utelias posteljooni kurkkaakin lomakuulumiset kortin takaa.
Samaa käytäntöä kannattaa soveltaa Facebookissa ja missä tahansa viestintävälineessä, jossa perusolettamus on, että halutessaan joku kykenee lukemaan viestisi. Netin käyttäjien kannalta on kuitenkin hyvä asia, että jos haluaa käydä oikeasti yksityistä viestien vaihtoa, se ei ole erityisen vaikeaa. Sähköpostin salaaminen on nykypäivänä vaivatonta ja jos haluaa pitää surffailunsa salassa, Tor-verkko tarjoaa kohtuullisen vahvan suojauksen ja helpoiten seurattavat jäljet eli evästeet saa piiloon jo selaimen porn mode -tilaa käyttämällä (eri selaimissa Incognito, Private Browsing tai InPrivate). Kätevistä pilvipalveluistakaan ei tarvitse kokonaan luopua, kunhan salaa yksityiset tiedostonsa ennen niiden lataamista nettiin.
Yksityisyytensä suojaamisessa pääsee hyvin alkuun esimerkiksi tutustumalla PGP-järjestelmään, joka on suosittu keino sähköpostin salaamiseen.
17 KOMMENTTIA
Lumikki1/17
Kuten olen usein sanonut, Internet on julkinen paikka, ei yksityisten asioiden säilytyspaikka.
Mutta kyse ei ole vain internetistä, vaan myös siihen suoraan kytketyistä laitteista. Monien nykyajan uusien laitteiden palveluissa on sidoksia moniin asioihin internetissä tai jonkin yhtiön palveluihin. Herää kysymys kuinka luotettava on joku iso yhtiö tai valtio, henkilöiden tietoturvan ja yksityisyyden kanssa. Kenelle asioita myydään tai luovutetaan tai mihin tarkoitukseen niitä käytetään, ilman asianomaisen lupaa.
Joku kutsuu ihmisiä foliohatuksi kun he ei suostu ottamaan riskiä omalla tietoturvallaan/yksityisyydellään ja "valistaa" tai "saarnaa" asiasta muille, miten kukin asian haluaa ottaa. Tosiasia on että jos ihminen ei huolehdi omasta yksityisyydestään tai tietoturvastaan, kukaan muu ei sitä tee puolestasi ja on hyvin todennäköistä että joku sitä rikkoo.
Kyse ei ole siitä että "Ei ole mitään salattavaa", vaan oikeudesta omaan yksityisyyteen asioissa jotka eivät kuulu muille. Se että yksityisyys rikkoutuu ei tarkoita että siitä on haittaa, mutta siitä voi olla. Kun pitää huolta omista yksityisistä asioista niin riskit haittaan pienenee.
Miten tulemme suhtautumaan jatkossa yrityksiin tai valtioihin jotka rikkoo ihmisten perustuslaillisia oikeuksia näissä asioissa. Ajaako jokainen vain omia etujaan, muiden kustannuksella?
G0lden_Kebab2/17
TOR > VPN conffia kyhämään vaan ja viestit cryptaukseen.
Mutta itse asiaan:
Valitettavasti tämä ei tullut yllätyksenä/tuskin muillekkaan tuli.
Nyt vaan asia "sattui" taas nousemaan pöydälle.
Näinhän se on valitettavasti.
himpo3/17
Vitsinä aina välillä kirjoiteltiin kaverin kanssa mesessä tyyliin "bomb whitehouse Al-Quida attack" ja muuten ihan suomeksi, varmasti joutui joku kynäniska jossain jenkeissä kääntämään jonkin aikaa kaikki viestimme enkuksi, suositelen kaikille ;)
Eli ei tullut itselle yllätyksenä tämä mutta koska kuulun kerhoon "minulla ei ole mitään salattavaa" ja wareista tuskin alkavat raportiomaan salaisesta virastostaan niin nou hätä.
xbkrypt0n4/17
PGP olisi ihan ok, mutta se vaatii että vastapuolella on sama laitos omalla koneellaan. Edelleen paljon helpompi on vaikka käyttää ROT-13 "salausta". Viestien analysointi vie prosessiaikaa ja vielä enemmän jos ei ole mitään standardia salausta käytetty (esim. ROT-x). Lyhyenkin heikon salauksen murtamiseen menee suuria viestimääriä käsiteltäessä ihan liikaa aikaa, että se olisi mitenkään kannattavaa.
Sove925/17
Eihän tätä voi millään hyväksyä. Ainoa onni on siinä, että NSA:ta ei kiinnosta kuin terrorismi (kaikki huomaisivat, jos tuo olisi normaalissa poliisikäytössä, mm. piraattituomioita tulisi kuin sieniä sateella). Kaiken varalta olisi kuitenkin hyvä suojata kaikki verkkoliikenteensä, mutta yritä nyt tässä vaiheessa tehdä uudet nettihenkilöllisyydet, ja saada kaveripiirisi takaisin, niin että hekin suojaavat liikenteensä. Mutta, jospa näin kuitenkin kävisi ennen kuin tuota käytetään myös piraattijahtiin.
bfr6/17
Veikkaisin että heidän algoritminsä hakevat myös kryptattuja viestejä, ja tagaavat ne jotenkin. Kryptaus on kuitenkin suht helppo huomata myös ohjelmallisesti, ja suurella todennäköisyydellä juuri kryptatuissa viesteissä kulkee jotain heitä kiinostavaa.
Agent_0077/17
Tämä lause kiteyttää hyvin koko ongelman. Tavalliselle sukankuluttajalle minkä tahansa salauksen tai suojauksen käyttöönotto tuntuu usein monimutkaiselle. Tämän takia käyttäjän tiedon suojaaminen/salaaminen pitää rakentaa suoraan järjestelmään mukaan alusta asti, jos halutaan pitää käyttäjän tietot yksityisinä. Muussa tapauksessa 99% käyttäjistä jättää tarvittavat toimenpiteet tekemättä.
xbkrypt0n8/17
Ok. Jos se kerta näin on aivan 100% varmasti, niin mikä ettei. Itse epäilen kuitenkin vahvasti tuota väitettä varsinkin sellaisten kryptausten kohdalla jotka koodaavat viestin tavalliseen ASCII-merkistöön ilman mitään merkkiä salauksesta.
EDIT: Eli toisinsanoen, yhtä helppoa on tunnistaa jonkin tiedostopäätteettömän tiedoston tiedostotyyppi ja saada sisältö näkyviin tai kuuluviin jos siitä on poistettu header, metadata ja kaikki muu mikä auttaa nimenomaan koneellisessa tunnistuksessa.
Todennäköisempää on, että viestit kulkevat vahvasti suojattuna (esim. PGP) tai ihan plaintextinä. Jo ns. selvälukuisen internet liikenteen määrä on niin valtava, että siihen tuskin riittää analysointikapasiteetti millään valtiolla.
Fiili9/17
Ghostery selainlisuke http://www.ghostery.com/ kertoi että ainakin seuraavien tahojen kanssa ollaan yhteydessä tätä viestiä lukiessa:
Facebook Connect
Google +1
Google Adsense
Google Analytics
ScoreCard Research Beacon
TNS
..joten on aivan selvää että uutistekstin sisältö kulkee 100-varmana NSA:n Echelon-järjestelmän läpi, siitä ei ole vähäisintäkään epäilystä.
Toisekseen afterdawn.com käyttää kaikkien muiden sivustojen tapaan kansainvälisiä statistiikkapalveluja, joiden kautta sivusto saa tietoa sivuillakävijöistä. Hyvin todennäköisesti näiden palveluiden takaa löytyy sama isovelisysteemi, joka jopa tienaa siitä että saa sivuselailijoiden kaikki tunnistetiedot itselleen. Näppärää :) Jokainen avattu sivu tai keskusteluviesti tallentuu isovelipalveluille aikaleimoineen ja hyvin tarkkaan yksilöivine selain-, selainlisuke-, käyttöjärjestelmä-, näyttö- ym. tietoineen, joista yksittäinen sivullakävijä voidaan tunnistaa ja liittää muuhun verkkodataan.
Ghostery ja selaimen tietoja väärentävät kilkkeet esim. Operassa ja Firefoxissa ovat apuja, mutta kuka sanoo ettei esim. Ghosteryn takana ole juuri samaiset isovelitahot?
Fiili10/17
Se on täysin varmaa että ainakin kryptatyksi tunnistettava data tallennetaan ja seulotaan, koska se on hyvin todennäköisesti kiinnostavaa. Tästä voi kenelläkään olla mitään epäselvää. Samoin aivan varmasti Tor ym. anonyymiverkkojen data on erityistarkkailussa, ja siihen uhrataan resursseja tavallista enemmän.
Fiili11/17
Kai tuo oli vitsi? On aivan selvää että NSA ja Echelon-järjestelmä on rakennettu paljon muunkin kuin terrorismin takia, veikkaanpa että suurin osa resursseista kuluu taloudelliseen ja poliittiseen vakoiluun. Paljonko jenkit ovat voittaneet suuria kilpailutuksia? Paljonko patentteja on siirtynyt jorpakon taaksi juuri ennen kilpailijoita? Entä poliittinen vakaus, paljonko sen varmistamiseen käytetään urkintaresursseja esim. Wikileaks-tyylisten vuotojen tukkimiseen? Veikkaan että terrorismi on vain pisara meressä.
dRD12/17
Olen vuosia järkeillyt homman niin, että kaikkea elektronista viestintää -- aivan kaikkea -- seurataan. Oli se sitten puhelu, tekstari tai netin välityksellä liittyvä data.
Jos itse olisin jotain terrorismiin tai muuhun kiinnostavaan (yrityssalaisuudet) liittyvää etsimässä, keräisin kaiken salatun kaman omaan erityissiiloon ja penkoisin sitä kamman kanssa todella tarkkaan läpi, johtuen juurikin siitä "99% käyttäjistä ei salaa mitään" -> 1% joka salaa, siellä kiinnostavan osuus on todnäk aika kova..
Ihmiset, jotka asuvat kehittyneissä maissa ja eivät käytä mitään edellämainituista kommunikaatiomuodoista, heittäisin terrorismiepäiltyinä suoraan Guantanamoon.
Kuulostaa läpältä, mutta näinhän se on?
Salaisuudet kannattaa edelleenkin kertoa korvaan kuiskutettuna ja hankkia joku kulmakerroin, jolla voi varmistaa sen, että kuulija ei niitä muille kerro.
1pertti13/17
Hauska(?) kommentti, mutta osin noinhan asia voisi olla. Varsinaiset ammattilaiset osaavat käyttää vain salattua tietoliikennettä, mutta monet terrorismiin liittyneet toimijat eivät ole olleet suoranaisia älyn jättiläisiä. Silti jälkimmäisetkin voivat luottaa siihen, että jos he eivät ylen määrin vitkuttele, heidän viestinsä tulevat tarkasteluun vasta iskun jälkeen johtuen juuri tuosta valtavasta viestimäärästä.
bfr14/17
Tässä yksi esimerkki kätevästä online-työkalusta jolla pystyt tunnistamaan 99% kryptatuista viesteista.
Mikäli kieltä ei tunnisteta -> tagi.
Valtio tuskin käyttää googlen palvelimia tuohon mutta ymmärrät pointin.
Lumikki15/17
Terrorismi, rikollisuus, vakoilu ja valtio salaisuudet voi olla se pääkohde mitä valtiot hakee viestinnästä. Yritykset taas hakee muihin yrityksiin liittyviä salaisuuksia, sekä tekee kuluttajasta henkilö profilointia. Henkilöiden profilointia käytetään hyväksi suoramainonnassa. Sitten on vielä itse rikolliset jotka etsii tietoja joilla voi varastaa jotain tai kiristää kohdetta. Salasanat, tilit, henkilötiedot.
Eli kuluttajan ei tarvitse olla rikollinen jotta hänen tiedoistaan ollaan kiinnostuneita, ihan tavallisen kuluttajan tiedot ovat jo keräämisen arvoista, sekä usein ihmiset puhuu sivu suun esimerkiksi yrityksen asioista joissa työskentelevät.
Sitten on vielä asia jossa ihmiset laittaa internetiin asioita joita sinne ei pitäisi laittaa, ihan hauskanpidon, tietämättömyyden tai typeryyden takia. Näiden takia ihmiset voivat menettää työpaikkansa tai joutua taloudelliseen vastuuseen. Siis ei niinkään että joku urkkisi asioita vaan että siitä on tullut julkinen.
coocie9816/17
Vaikka keskustelu onkin painottunut yritys- ja valtiosalaisuuksiin ja terrorismiin niin kannattaa muistaa, että on muitakin tahoja jotka voivat hyötyä viestien sisällöstä tai aiheuttaa haittaa niillä. Viestinnän salaaminen antaa ainakin itselle tietynlaista mielenrauhaa vaikka kryptologian perusteet tuntevana en pidäkään suojauksia aukottomina. Teoreettisesti kaikki voidaan murtaa, mutta käytännössä se on kallista, aikaa vievää ja harvalla on mitään käytännön resursseja sellaiseen.
aints17/17
http://trollthensa.com/
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT