perjantai 30. toukokuuta 2014

Vanha niksi tiedonkalastelua vastaan toimii yhä

Eilen huomasin Facebookissa parin tutun levittävän epäilyttävää kutsua:

Suomenkielinen kutsu tutuilta hämää tehokkaasti.
Linkkiä napsauttamalla aukeni Facebookin kirjautumissivu, joka näytti varsin aidolta:

Kirjautuminen joulupukkina paljastaa huijauksen.
Mutta oliko se aito? Olen käyttänyt yksinkertaista kikkaa kalastelusivujen paljastamiseen: kirjoitan takuulla väärän käyttäjätunnuksen ja salasanan. Yleensä kalastelusivu ei tarkista, ovatko tiedot oikein, sillä tietojen validointi edellyttäisi kirjautumista oikeaan palveluun. Sitä ei ole aivan helppo ohjelmoida, eivätkä kalastelijat muutenkaan ole mitään ruudinkeksijöitä. Lisäksi kirjautumisskriptit kuormittaisivat konetta, joka on yleensä kaapattu palvelin.

Oikea Facebook antaisi vääristä tunnuksista virheilmoituksen, mutta kalastelusivu hyväksyi joulupukin mukisematta ja alkoi kysellä lisätietoja:

Minun isoisäni oli astronautti.
Varsinainen pihvi oli vasta viimeisellä sivulla:

Luottokortin tiedot, kiitos.
Ilmoitin kuvitteellisen luottokortin numerot -- tekeepähän hieman kiusaa hakkereille, kun yrittävät käyttää luottokortteja luvatta. Hyvässä lykyssä saman henkilön useat ostoyritykset väärillä numeroilla voivat johtaa jopa rosvon paljastumiseen.

Osa kalastelusivuista tarkistaa, että luottokortin numero on oikean näköinen. Vastaavasti netistä löytyy palveluita, joilla voi generoida kuvitteellisia, loogisesti oikeita luottokorttinumeroita kaikkine tietoineen.

Kun kalastelija oli saanut kaiken tarpeellisen, uhri palautettiin takaisin oikeaan Facebookiin, eikä hän luultavasti edes huomannut tulleensa huijatuksi. Sen jälkeen hänen tunnuksiaan alettiin käyttää uusien uhrien houkutteluun.

Väärien kirjautumistietojen kokeilu on yksinkertainen, mutta varsin toimiva kikka. Mainitsin siitä aamulla Twitterissä ja ilmeisesti niksiä pidettiin hyvänä, koska se sai paljon retwiittejä ja Digitoday teki siitä jopa uutisen.

Niksi Twitterissä.
Itse kikka ei ole mikään uutinen -- esittelin sen jo vuonna 2006 ilmestyneen Paranna tietoturvaasi -kirjani sivulla 298. Olen noin kymmenen vuoden ajan kokeillut kikkaa eri huijauksissa, eikä vielä ole tullut vastaan yhtään kalastelijaa, joka oikeasti tarkistaisi kalastelemiensa tunnusten toimivuuden reaaliajassa (tosin yksi huijaus tarkisti, että salasana oli riittävän pitkä). Yleensä tunnukset kerätään vain tekstitiedostoon, joka käydään imuroimassa myöhemmin parempaan talteen.

Ellei halua tehdä joulupukista uhria, voi tietenkin käyttää omaa tunnustaan -- kunhan salasana on varmasti väärä. Oman tunnuksen käyttö kertoo kuitenkin huijarille, että uhri on mennyt lankaan. Jos kyse on FB:n tapaan sähköpostiosoitteesta, se kertoo myös, että tälle henkilölle kannattaa lähettää huijauksia jatkossakin.

Kalastelut pitäisi ensi sijassa tunnistaa väärennetyn osoitteen, puuttuvan ssl-suojauksen tai jonkin muun tekijän avulla. Väärien tietojen hyväksyminen on varma merkki huijauksesta, mutta vaikka tuloksena olisi virheilmoitus, se ei vielä takaa palvelun aitoutta. Siksi kikka on vain yksi lisätekijä arvioitaessa palvelun luotettavuutta.

Tässä tapauksessa ensimmäisen sivun osoiterivi näytti oikealta, mikä varmaankin lisäsi huijauksen tehoa:

SIvun osoite on hämäävästi oikean näköinen.
Osoiteriville on saatu mahtumaan www.facebook.com, mutta todellinen domain on tässä tapauksessa com-gb.co.uk. Luulisi osoiterekisterien ylläpitäjällä olevan sen verran maalaisjärkeä, etteivät myöntäisi näin helposti huijattavia osoitteita lainkaan.

Yleensä kalastelusivut pyörivät kaapatuissa palvelimissa. Silloin kannattaa kokeilla toista kikkaa: osoiterivin perästä poistetaan kaikki ylimääräinen niin, että vain domain-osuus jää jäljelle. Jos kyse on huijauksesta, selaimeen ilmestyy kaapatun palvelimen oikea kotisivu. Tässä tapauksessa siitä on vain vähän hyötyä, sillä com-gb.co.uk:n kansisivu on aivan tyhjä. Ilmeisesti osoite on varattu juuri tätä huijausta varten..

Huolestuttavaa on se, että näin avoimesti huijaava sivu saa olla toiminnassa ilman, että se päätyy Firefoxin ja Chromen sulkulistalle.

Kirjautumissivun jälkeen palvelu vaihtaa toiseen, ilmeisesti kaapattuun osoitteeseen. Sen domain-nimi www.exsazen.com antaa selvän osoituksen vaarasta:

Toinen niksi: kokeile osoitetta pelkällä domain-nimellä.

maanantai 19. toukokuuta 2014

Tekijöiden ahneus haittaa suomalaista kulttuuria

Hesari kertoo, miten Yle on yrittänyt neuvotella Kotikatu-sarjan tekijöiden kanssa uudesta esityskierroksesta. Neuvottelut ovat vaikeita, sillä sarjaa tehtiin seitsemäntoista vuoden ajan ja jaksoja on lähes 600. Sopimusosapuolia on niin paljon, että kohtuulliseen tulokseen on vaikea päästä. Jokainen haluaa itselleen mahdollisimman paljon, jolloin kukaan ei saa mitään.

Ylen mukaan koko sarjan esittäminen maksaisi 30-40 miljoonaa euroa. Summa on aivan väärältä planeetalta aikana, jolloin sisällöstä on jatkuvaa ylitarjontaa. Jotta tekijänoikeuden markkinat voisivat toimia, sopimuksissa määriteltyjen korvausten pitäisi olla tätä päivää, eikä vanhoja sopimuksia voi muuttaa jälkikäteen ilman kaikkien osapuolten hyväksyntää.

Niinpä on helpointa jättää Kotikatu esittämättä, jolloin kukaan tekijöistä ei saa mitään. Vaikka kulttuurintekijöiden leipä on kapea, tällaista käyttäytymistä voi kutsua ahneudeksi.

Kotikatu ei ole yksin. Ylellä on paljon muitakin tallenteita, joita se ei voi julkaista levyllä eikä esittää sopimussyistä. Oopperan taltioinnit ovat kuulemma kaikkein hankalimpia, koska jokaiselle kuorolaisellekin pitäisi maksaa jokaisesta esityksestä.

Kohtuuttomat hintapyynnöt ja vanhaan maailmaan suunnitellut sopimukset haittaavat eniten tekijöitä ja esittäjiä itseään. Meillä katsojilla ja kuuntelijoilla ei ole pulaa tarjonnasta, pärjäämme mainiosti ilman Kotikatua ja oopperataltiointeja. Televisio, radio, Facebook ja Youtube ovat täynnä sisältöä. Harmi vain, että kotimainen kulttuuri jää entistä vähemmälle kansainvälisen sisällön rinnalla.

Jos ala ei ymmärrä omaa etuaan, tekijänoikeuslain muuttamisen voisi aloittaa tästä nurkasta. Miten se olikaan: järkeä tekijänoikeuslakiin?

Lisäys klo 14: Hesarin uutisen mukaan tekijät vaativat 30-40 miljoonaa euroa Kotikatu-sarjan kaikista oikeuksista. Niillä Yle voisi laittaa sarjan jaksot Yle Areenaan vapaasti katsottaviksi. Kyse on siis enemmän kuin pelkästä uusintaesityksestä.

Otetaan puolivälistä 35 miljoonaa. Onko se paljon vai vähän 588 jakson oikeuksista? Jakolaskun mukaan jokaisen 45 minuutin jakson oikeudet maksaisivat 59 500 euroa. Maallikon mielestä se tuntuu paljolta, kun kyse on jo televisiossa näytetyn sisällön oikeuksista, joka ei sisällä mitään tuotanto- ym. kustannuksia. Lähes 60 000 euroa jaettavaksi jokaisen jakson tekijöille, siis esim. pari tonnia pääosan esittäjille, satasia käsikirjoittajille, kuvaajille, äänittäjille, lavastajille...? Ja kaikki siis 588 kertaa. Miten ihmeessä summa voi nousta näin korkeaksi?

perjantai 16. toukokuuta 2014

Entinen poliitikko, lääkäri ja pedofiili hakeneet ensimmäisinä poistoa Googlesta

EU-tuomioistuimen Google-päätös tehoaa nopeasti. Koska kyse on voimassaolevan lain tulkinnasta, päätöksen vaikutukset näkyvät jäsenmaissa heti -- myös Suomessa.

Jos olen oikein ymmärtänyt, kuka tahansa suomalainen voi vaatia Suomen oikeudelta päätöstä itsensä kannalta vanhentuneen tai epäolennaisen tiedon poistamisesta Googlen hakutuloksista. Siinä on käräjäoikeudelle pohtimista, miten näitä kriteereitä tulisi tulkita!

Ylen uutinen tietää kertoa, että EU:ssa lääkäri, entinen poliitikko ja tuomittu pedofiili ovat jo vaatineet itselleen kielteisten tietojen poistamista hakutuloksista. Poliitikko haluaa tulla valituksi uudelleen eikä halua, että hakukone löytää netistä häntä arvostelevan artikkelin. Vastaavasti lääkäri vaatii potilaiden kirjoittamia kielteisiä arvioita poistettaviksi.

Jo heti ensimmäiset tapaukset osoittavat, miten ongelmalliseen tilanteeseen päätös johtaa. Onko oikein, että poliitikko voisi poistaa itseään arvostelleen artikkelin? Jos lääkäri on oikeasti huono, ketä palvelee se, että potilaiden kriittiset arviot poistetaan?

Entä pedofiili? Tuomio on ehkä kärsitty ja rikos yhteiskunnan näkökulmasta sovitettu, mutta pedofiili ei yleensä parane. Tieto voi olla vanhentunut, mutta se ei ole väärä. Epäolennaisuudesta voidaan olla monta mieltä.

Suomessa oikeuden päätökset ovat julkisia. Jos oikeus päättää, että Googlen pitää poistaa poliitikkoa koskeva kielteinen artikkeli, tieto tästä löytyy Googlella. Sekin pitäisi siis poistaa uudella päätöksellä. Jotta tuloksena ei olisi loppumaton noidankehä, oikeuden päätökset pitää joko salata tai ainakin estää hakukoneiden pääsy niihin robots.txt-tiedostolla. Sen jälkeen muitakaan oikeuden päätöksiä ei voi hakea.

Ylen uutisen referoimat tapaukset ovat vasta hakemuksia, eivät päätöksiä. Nähtäväksi jää, millaisen linjan paikalliset tuomioistuimet asiaan ottavat, ja miten korkealle poistokynnys asetetaan. Epäselvyys on mukavaa, asianajajat tykkäävät.

Tätä taustaa vasten kuulostaa erikoiselta, että Google olisi Saksassa luomassa lomakkeen, jolla henkilöt voivat itse jättää poistopyyntöjä. Eikö pyynnön pitäisi kiertää oikeusjärjestelmän kautta? Tai voisiko kyseessä olla Googlen kosto: tekemällä poistoista liian helppoa se osoittaa, millaisiin lieveilmiöihin päätös johtaa. Googlella itsellään on oikeus poistaa mitä tahansa, ilman oikeuden päätöksiäkin.

Kaikki eivät pidä EU-tuomioistuimen päätöstä huonona. Erityisesti yllätyin chicagolaisen lakiprofessorin kirjoituksesta, jossa hän toivoi samaa unohduslakia myös Yhdysvaltoihin. Lukijoiden kommenteissa toive sai tosin melko murskaavan vastaanoton. 

tiistai 13. toukokuuta 2014

EU-tuomioistuimen Google-päätös herättää isoja kysymyksiä

EU-tuomioistuin on tänään velvoittanut Googlea poistamaan hakutuloksista vanhentuneet, henkilöihin liittyvät tiedot. Hesarin mukaan "Kuka tahansa voi vaatia Googlea poistamaan vanhoja tietojaan".

Olen asiassa lehtitietojen varassa, eivätkä ne aina ole kovin täsmällisiä, mutta näillä tiedoilla päätös kuulostaa hyvin hankalalta. Tähän asti työnjako on ollut hyvin selvä: web-sivut tuottavat sisällön ja Google indeksoi ne. Jos sivuilla on vanhentunutta tai väärää tietoa, se pitää korjata sivulle eikä hakukoneen tuloksiin.

On huolestuttavaa, jos Googlen hakuindeksi alkaa erkaantua sivujen todellisesta sisällöstä. Sehän tarkoittaa käytännössä hakutulosten sensurointia. Ehkä niin tapahtuu jo nyt, sitä emme tiedä varmaksi, mutta juuri siksi hakujen takana olevaa logiikkaa pitäisi pikemminkin avata läpinäkyvämmäksi eikä samentaa entisestään.

Sisällön tuottaminen ja sivujen indeksointi ovat kaksi eri kokonaisuutta. Kyse on eräänlaisesta nettineutraliteetista, josta on viime aikoina käyty paljon keskustelua: voiko operaattori suosia tiettyjä sisältöpalveluita toisten kustannuksella? Nettineutraliteetin mukaisesti palvelut ja operaattorit tulee erottaa toisistaan. Nähdäkseni saman tulisi päteä myös nettisisältöön ja hakupalveluihin.

Taustalla saattaa olla tapauksia, joissa hakukone kaivaa lehden nettiarkistosta esimerkiksi vanhan tuomion, jonka henkilö on jo kärsinyt ja siten rangaistuksensa sovittanut.  Onko Googlen tehtävä estää tällaista tietoa löytymästä? Eikö oikea paikka olisi poistaa tieto lehden nettisivulta?

Jos Google joutuu poistamaan hakutuloksen, miten se käytännössä tapahtuu? Entä jos uutisessa (tai kyseisessä lehden sivussa) on jotain muuta mielenkiintoista, joka sekin lakkaa löytymästä? Eikö EU:n kannattaisi ensin velvoittaa lehtiä poistamaan nettiarkistoistaan vanhentuneet tiedot (mikä olisi yhtä ongelmallista sekin)?

On filosofinen kysymys, milloin jokin tieto on vanhentunut. Rangaistus saattaa olla vanhentunut, mutta tieto itsessään ei ole väärä. Miten pitkälle kiusallisten tai tiedoiltaan muuttuneiden tapahtumien jälkikäteen peukaloinnissa voidaan mennä? Voin kuvitella, että aika moni meistä haluaisi Googlen olevan löytämättä jotain omaa hölmöilyään. Kaikki ikävät tiedot ovat "vanhentuneita", joten Googlea voi vaatia poistamaan ne.

Koskeeko päätös kaikkia EU-alueella toimivia hakukoneita? Entä miten käy Internet Archiven, jossa on kopio vanhoista sivuista, pitääkö nekin poistaa? Mitä päätös merkitsee tutkivalle journalismille?

Sitten voi vielä kysyä, onko EU:n kannalta mielekästä lähteä sääntelemään amerikkalaista hakukonetta omien oikeusperiaatteidensa mukaisesti? Tällä lähestymisellä ei ainakaan edistetä eurooppalaisten digimarkkinoiden syntymistä.

Tietosuojavaltuutettu piti tv-uutisissa päätöstä hyvänä. "Nyt tuli työkalu puuttua ongelmaan" (jolla nettisivuja saadaan poistettua hakutuloksista). Minusta tämä kuulostaa huolestuttavalta. Työkalun pitäisi löytyä muualta kuin Googlelta.
Website Security Test