[Alku]
Testaa CSS-oppaan navigoinnin toimivuutta!
   
 
Hae sivuiltani:
[Apua]

Informaatioteknologian uhkatekijöitä

Aiheet

Virus- ja vakoiluohjelmat

Internetin varastaminen ja tuhoamien epästandardeilla ratkaisuilla ei ole pahin asia. Internetiä uhkaavat erilaiset virusohjelmat, "madot" ja "troijan hevoset". Ne aiheuttavat yleensä selkeitä tuhoja, joten niiden käynnin yleensä jossakin vaiheessa huomaa. Niiden luomista voi pitää yksiselitteisesti rikollisena. Ne ovat tavallaan myös yksityisyyden (privacy) loukkauksia.

Koti- ja toimistotietokoneiden ohella Web-palvelimille on tehty viruksia. MS IS palvelin tukee VBS-kieltä, jota käytetään yleisesti virusten luomiseen. Sen käyttö voi helpottaa niiden luomista (tosin yleisenä ongelmana ovat palvelinten virheet eikä ongelma koske pelkästään Microsoftin palvelinohjelmia). Internetissä pitäisi käyttää rajoitettuja ohjelmointikieliä (esim. Perl), jotka ovat paljon turvallisempia. Internetin toimivuuden kannalta palvelinvirukset ovat pahimpia.

On olemassa myös ns. vakoiluohjelmiksi kutsuttuja sovelluksia. Steve Gibson määrittelee OptOut sivustolla vakoiluohjelman (spyware) seuraavasti (lisäsin tekstiin hieman korostuksia sekä tein siitä käännöksen):

Spyware is any software which employs a user's Internet connection in the background (the so-called "backchannel") without their knowledge tai explicit permission. This gives the possibility of information thefts.
Vakoiluohjelma on mikä tahansa sovellus, joka hyödyntää taustalla (ns. "taustakanavalla") käyttäjän internetyhteyttä ilman että käyttäjät ovat siitä tietoisia tai antaneet siihen lupaa. Tämä mahdollistaa tietovarkauden.
OptOut: Tell Unwelcome Spyware to Pack its Bags!.

Saamani s-postin mukaan on myös todella vaarallisia vakoiluohjelmia kuten WebHancer, broadCast (Broderbunt), Naviant, Onflow ja Speedbit (latauksen nopeuttaja).

Vakoiluohjelmiksi luokitellut sovellukset ovat kuitenkin yleensä harmittomia enkä pidä niitä todellisina vakoiluohjelmina. Tavallisesti ne vain välittävät ohjelman valmistajalle tietoa selaajan surffaustavoista. MS IE:hen saa apuohjelmina (plug-ins applications) tämän kaltaisia "vakoilusovelluksia" (sama koskee myös Netscapen lisäohjelmia käyttäviä selaimia kuten Nescape ja Opera). Tunnettuja tai epäiltyjä "vakoiluohjelmia" on todella paljon.

Huomautus 1. Opera 5.0:n mainosrahoitteisia ilmaisversioita (ad-sponsored freeware/ adware) on epäilty vakoiluohjelmiksi. Käyttäjä voi halutessaan määritellä millaisia mainoksia hän vastaanottaa ja täten luo eräänlaisen ohjeellisen "mainosprofiilin". Määritellessään mainoksia Opera lähettää tiedot palvelimelle. Opera Software itsessään ei kerää käyttäjätietoja. Mainokset tulevat Cydoorin serveriltä, joka sovituilla tavoin profiloi sen käyttäjiä. En pidä ohjelmia vakoiluohjelmina, sillä ne eivät luo henkilökohtaista käyttäjäprofiilia serverille eivätkä ne tuota mitään persoonallista uhkaa selainten käyttäjille. Opera Software antaa WWW-sivuillaan seuraavan vastauksen mainosnauhan merkityksestä (lisäsin tekstiin hieman korostuksia sekä tein siitä käännöksen):

It will not harm your computer, and it will not collect personal information. It is not designed to track tai record your computer use tai internet visits.

Opera communicates with the ad service in order to be able to retrieve advertising content. When you install Opera 5, your browser connects to a registration server and receives a unique identifying number. This ID is not personally identifying, and is only used to communicate with the ad-related service as the browser occasionally sends and receives banner-related information. Without being able to set a unique ID to your browser, it would not have been possible to sell ads in Opera.

Se ei vahingoita tietokonettasi eikä se kerää henkilökohtaisia tietojasi. Sitä ole tarkoitettu seuraamaan tai tallentamaan tietokoneen käyttöäsi tai internetissä vierailujasi.

Opera kommunikoi mainospalvelun kanssa saadakseen mainossisällön. Kun asennat Opera 5:n, -selain ottaa yhteyttä rekisteröintipalvelimelle ja saa ainutkertaisen tunnistusnumeron. Tämä ID ei ole persoonallinen tunnistautuminen ja sitä käytetään vain kommunikoimaan mainoksiin liittyvien palveluiden kanssa kun selain satunnaisesti lähettää ja vastaanottaa nauhaan liittyvää informaatiota. Ilman että selaimelle olisi asetettu ainutkertainen ID Operassa ei olisi mahdollista myydä mainoksia.

Joku varmasti pitää selaimen sarjanumeroa henkilökohtaisena tietona ja mainosten asetuksia hyvin henkilökohtaisena profiilina. Sarjanumero ei ole kuitenkaan varsinaisessa mielessä persoonakohtainen, sillä henkilö itse pysyy anonyyminä (selaimen ID on anonyymisti yksilöivä tunnus). Näin ollen mainosten asetukset luovat tavallaan henkilökohtaisen, mutta kuitenkin anonyymin profiilin, joka ei uhkaa käyttäjän yksityisyyden suojaa (mielestäni tällaisia profiileja ei tule pitää jollakin lailla laittomina, vaikka mainosrahoitteiset sovellukset voivat toimia ilman niitäkin). Saamani s-postin mukaan Opera ei edes kerro palvelimelle, mistäpäin maailmaa surffataan.

Operalla selaaminen on sangen turvallista ja se tukee uusimpia turvaprotokollia. Operassa on myös tehokas evästeiden (cookies) hallintamahdollisuus (samantapainen on Mozilla Gecko -selaimissa). Opera Software pyrkii kunnioittamaan yksityisyyttä - tosin firman käyttämä palvelin voi sitä teoriassa firman tietämättä rikkoa. ZDNetin mukaan ei ole mitään todisteita, että persoonallista informaatiota varastettaisiin.

Opera Software: Opera's Mission, Privacy, security and advertising in Opera 5.
ZDNet: Aureate Trojan fears unfounded, but ....

Myös AOL Time Warner yhtiötä, joka julkaisee Netscape-selainta on syytetty asiakkaiden vakoilusta:

In a suit filed last year against the AOL Time Warner division, customers alleged that SmartDownload allows the company to monitor people's activities after they've downloaded the software, violating federal laws prohibiting electronic surveillance.
ZDNet News: Netscape ruling a boost for privacy By Lisa M. Bowman, July 10, 2001 4:59 AM PT.

Toki mainosprofiili on hieman ongelmallinen. Testasin tietokoneeni Lavasoftin Ad-Aware 5.0 ohjelmalla eikä se huomauttanut Opera 7.0 Beta 1/2:n asentaneet mitään kyseenalaista komponenttia. Sen sijaan se kehotti poistamaan kaksi ohjelmakomponenttia, jotka MS IE ja Net2Phone (sain sen todennäköisesti jonkun Netscape-asennuksen yhteydessä) olivat asentaneet.

Lavasoft.

Opera 5.x:n tapaus herättää kuitenkin laajempia kysymyksiä. Jos Cydoor profiloi käyttäjiä ja joku epäilee sitä vakoiluohjelmaksi, monia muitakin Web-servereitä voisi epäillä vakoiluohjelmiksi. Profiilien luominen on internetissä hyvin yleistä. On myös paljon mainosrahoitteisia Web-palvelimia ja -sivustoja. Profilointeja luodaan Web-palvelimilla ja -sivustoilla useimmiten evästeillä (useimmissa selaimissa niiden tallentamisen saa pois päältä). Erilaiset käyttäjäprofiilit voivat olla hyödyllisiä myös selaajille.

Erityisesti pienille ohjelmistotaloille mainostaminen on elinehto eikä mainosrahoitteisuutta tulisi pitää itsessään tuomittavana. Syyllistymättä vainoharhaisuuteen mainosrahoitteisten ohjelmien luojia ei tule automaattisesti epäillä kieroiksi henkilöiksi, jotka pyrkivät keräämään sellaista tietoa, jota vakoiltava ei haluaisi luovuttaa (jos tietäisi olevansa vakoiltu). Tällaisia pyrkimyksiä. Mainoksia käytetään internetissä samasta syystä kuin TV:ssä, busseissa ja formula autoissa - ei sen jalommista or pahemmista syistä.

Profiloimisen ja mainostus tulee kuitenkin olla sellaista, ettei siinä olisi rikollisia piirteitä (tämä koskee kaikkea mainostamista). Profiloiminen on Web-palvelimissa, Web-sivustoilla ja mainosrahoitteisissa tietokoneohjelmissa mielestäni asianmukaista seuraavilla ehdoilla (jos ne täytetään jotakin ohjelmaa ei tule luokitella varasohjelmaksi):

  1. Persoonallista informaatiota ei automaattisesti kerätä, jolloin yksityisyys ja anonymiteetti taataan (vain jos henkilö itse antaa siihen luvan, hänestä voi luoda personoidun profiilin, mitä en kuitenkaan pidä tässä yhteydessä asianmukaisena).
  2. Profilointi ei kerro kuka olet ja mistä käsin selaat, ellet sitä itse halua ilmoittaa. Jos tarvitaan tietojen väliaikaista varastointia, yksityisyyden suojaa ei rikota.
  3. Ohjelman tai palvelun käyttäjän tulee olla tietoinen profiloinnista.

Olisi suotavaa, että joka kerta kun asiakas käyttää ohjelmaa/ palvelua hän saa esim. ilmoituksen tai täytettävän kaavakkeen. Ohjelma/palvelu voisi kuitenkin antaa mahdollisuuden poistaa mahdollinen tiedotus joka käyttökerralta esittämällä esim. kysymys älä kysy enää uudestaan (Do not show this dialog again).

Näiden lisäksi voimme keskustella, mikä on epäasiallista mainontaa ja mikä ei. Tässä on kuitenkin kyse hyvää makua, ei vakoilua koskevista kysymyksistä. Seuraavan vaatimuksen täyttäminen on suotavaa, mutta sen puuttuminen ei mielestäni tee ohjelmaa vakoiluohjelmaksi:

For a spyware to not be called a spyware anymore, it would need to pop up a window and clearly state tai list the exact data and process it is about to perform, each time, it contact's it's home server for content tai information reporting. It would also have a button to give the end user the right to refuse and cancel the operation.
SISL (The Spyware Infested Software List): List of Known Spyware Infested Software, Open Letter to Software Developers.

Huomautus 2. Olen esittänyt on vain oma mielipiteeni. On myös huomattava, että kaikki joillakin WWW-sivuilla vakoiluohjelmiksi luokitellut ohjelmat eivät todellisuudessa ole vakoiluohjelmia, sillä ohjelmien arviointi perustuu vain Web-sivujen tekijöiden mielivaltaisiin näkemyksiin siitä, mikä on yksityisyyden loukkausta ja vakoilua. Esim. SISL:n arviot eivät ole objektiivisia (koska mikään mainosrahoitteinen ohjelma ei täytä sivun tekijän asettamia kriteerejä, hän määrittelee kaikki mainosrahoitteiset ohjelmat jonkin tason vakoiluohjelmiksi). SISL:n lista kelpaa vain jatkokeskustelujen pohjaksi. Jonkun firman syyttäminen vakoilusta on kova syytös. Epäoiketettu syytös on yhtä lailla rikos kuin vakoileminenkin! Mielestäni eräät Web-sivustot ovat syyllistyneet epäoikeutettuihin syytöksiin ja niillä on liian pitkiä listoja "vakoiluohjelmista" Itse asiassa meillä pitäisi olla jonkun oikeuden päätös, jossa on määriteltynä se, mikä on internetissä ja kaikessa informaatioteknologiassa vakoilua. Voisiko W3C luoda tarvittavat pelisäännöt? Vai tarvitsisikohan WWW kansainvälisen tuomioistuimen?

Huomautus 3. Erästä MS Windowsin koodipätkän epäiltiin kerran liittyvän USA:n kansalliseen turvallisuuspoliisiin (NSA). MS kielsi tämän yhteyden. Sen mukaan koodi liittyy USA:n vientilakeihin, joita se pyrkii saamaan muidenkin ohjelmien noudattamaan. Suunnattomien riskien vuoksi on epätodennäköistä, että MS Windows itsessään olisi vakoiluohjelma.

Mutta juuri USA:n tiukkojen vientilakien vuoksi (niiden tarkoituksena on estää huipputeknologian maastavienti) amerikkalaisten on aika mahdotonta rakentaa täysin varmoja järjestelmiä. Kaikki amerikkalaisfirmat ovat ainakin jossakin määrin pakotettuja toimimaan yhteistyössä NSA:n kanssa, jottei USA:n vientilakeja rikottaisi. Koska NSA:n täytyy pystyä murtamaan suojausjärjestelmät, se merkitsee mm. sitä, että esim. MS Windowsiin täytyy jättää tietoturva-aukkoja (sama koskee luonnollisesti kaikki amerikkalaisia tietokoneohjelmia).

Mikäli käyttöjärjestelmä ja siihen liittyvä selain eivät ole riippuvaisia USA:n vientilaeista, kokonaisuus voi olla mahdollisimman turvallinen. Siksi kokonaan Pohjois-Amerikan ulkopuolella suunnitellut ja avoimeen lähdekoodiin perustuvat käyttöjärjestelmät voivat teoriassa olla tieturvallisempia kuin amerikkalaiset kaupalliset käyttöjärjestelmät. Opera Software on eurooppalainen firma. Opera on saatavissa myös Linux (myös Mozilla Gecko -selaimia on saatavissa tähän käyttöjärjestelmään) ja Symbian käyttöjärjestelmään (EPOC) soveltuvina versioina.

Vakoilu- ja poliisiorganisaatiot

Tietoverkot mahdollistavat vakoilun. Informaatioteknologiaan liittyy muitakin kuin tietoverkkojen kautta tapahtuvat vakoiluyritykset. USA:n vakoilu- ja (suojelu)poliisiorganisaatiot (NSA:n ohella CIA ja FBI) sekä muiden maiden/ valtioliittojen (kuten EU) vastaavat organisaatiot ovat uhka koko maailmalle.

Ihmisiä koskeva persoonallinen tieto voidaan pakata pieniin muistipiireihin, jota laitetaan muovisiin henkilökortteihin (tällaisia käytetään esim. Suomessa). Mikropiirejä voidaan laittaa jopa ihmisen sisään. Niitä käytetään nykyisin lääketieteellisiin tarkoituksiin.

U.S.News.com.

Olen useita vuosia sitten ja nyt taas uudestaan kuullut siitä, että on olemassa suunnitelmia asentaa ihmisen otsaan tai käteen mikrosiruja, jotka sisältävät henkilöä koskevia yksityisiä tietoja. Ihmisistä tulee tällöin ikään kuin "liikkuvia tietokantoja" tai "liikkuvia tietokoneita"! Ihmisten merkitseminen tällä tavoin ei ole mitään tieteistarinaa. Se on ennustettu jo Raamatussa:

Se on saanut vallan antaa pedon kuvalle hengen, niin että kuva jopa kykenee puhumaan, ja se on myös saanut vallan tappaa kaikki, jotka eivät kumarra pedon kuvaa.

Se pakottaa kaikki, pienet ja suuret, rikkaat ja köyhät, vapaat ja orjat, ottamaan oikeaan käteensä tai otsaansa merkin. Kenenkään ei ole lupa ostaa eikä myydä mitään, ellei hänellä ole tätä merkkiä, joka on pedon nimi tai sen nimen luku.
Ilmestyskirja 13:15-17 (RK 1992)

Huomautus. Sana kuva on kreikaksi eikoon (sillä on myös merkitys hahmo). Tietokoneohjelmissa käytetään sanaa icon, joka merkitsee kuvasymbolia eli kuvaketta. Näin ajatellen pedon kuva voi tarkoittaa myös sen kuvasymbolia, vaikka ensisijaisesti tulee ajatella liikkuvaa kuvaa, joska käy selville hahmo. Sana merkki tarkoittaa alkukielessä myös kaivertamalla tehtyä kuvaa.

Olen keskustellut henkilön kanssa, jolla on kosketuksia erääseen tietoturvafirmaan. Sain vastauksen, miksi näitä mikrosiruja kehitellään. Näennäinen "tarkoitus" on pysäyttää rikollisia panemalla ihmisiin tietokantoja. Tällöin vain ne ihmiset, jotka on tarkastettu etteivät he ole rikollisia, voivat ostaa or myydä jotain.

Voimme ajatella, että on hyvä asia kun kansalliset tai kansainväliset vakoilu- ja poliisijärjestöt yrittävät estää mikrosiruilla tavanomaista rikollisuutta. Tietyllä tasolla kontrolli voi estää rikollisuutta. Mutta jos kontrolli on liian laajaa, saamme vain entistä pahempia rikollisia - vakoilu-/ poliisiorganisaatiota sekä valtiota/ valtioliittoja, jotka voivat väärinkäyttävät henkilökohtaisia tietojamme! Liian tiukka kontrolli saattaa loukata ihmisen yksityisyyttä. Se merkitsee myös "maaperää", joka ei suinkaan estä hullujen kansanjohtajien nousemista vaan pikemminkin "kasvattaa" uusia "Hitlereitä". Kukaan ei voi panna USA:ta tai muita valtioita/ valtioliittoja oikeuteen, mikä tekee niistä äärimmäisen vaarallisia!

Erään huhun mukaan ainakin NSA:lla on nykyisin olemassa riittävän tehokkaita tietokoneita, joilla he voivat lajitella ja laittaa tietokantoihin kaiken sen informaation, mitä he ikinä haluavat (mikrosirut ovat hyödyttömiä, jos ei ole äärimmäisen tehokkaita tietokoneita, jotka pystyvät käsittelemään valtavan määrän tietokantoihin talletettua dataa). Tehokkaiden prosessorien lisäksi tietokoneissa tarvitaan ns. kovalevyjä, jotka voivat tallentaa tiedot. SPIE-organisaatio ja esim. Henri H. Arsenaultin (Lavalin yliopisto, Kanada) kanssa tutkii optisten (esim. hologrammi-pohjainen muisti) laitteiden mahdollisuuksia. Muitakin vaihtoehtoja tutkitaan. Ehkä jopa moleekyylitason tietokoneita pystytään rakentamaan. Tarvittavan tehon ja muistin määrä voidaan ratkaista!

Optiikka: SPIE, Henri H. Arsenault.
Tulevaisuudenkuvia: ComputerAct!ve Columns.

Olen lukenut kahdesta mahdollisesta tekniikasta, joita voidaan käyttää ihmisten tunnistamiseen:

  1. Digitaalinen tatuointi (viivakoodi tai kuva).
  2. Miniatyyrinen lähetin, joka on nimetty digienkeliksi (Digital Angel®). Tämä menetelmä mahdollistaa satelliittipaikannusjärjestelmän (GPS) hyödyntämisen.
Aiheeseen liittyviä sivuja:
Reino Savola (sivulla on muutama englanninkielinen sitaatti, jotka koskevat em. tekniikoita): Mondex (rahaton yhteiskunta), Tattooed Bar Codes Patented - Be Scanned Before All Debit Card Transactions 10-29-99, Applied Digital Solutions.

Jos ihmiset ovat kuin liikkuvia tietokoneita tai robotteja, joissa on GPS-järjestelmä, kontrolli on paljon pahempaa kuin Stalinin aikoina Venäjällä tai Gestapo oli aikoinaan Saksassa.

Mikrosirusysteemit ovat vielä kehitteillä. Mutta kun ne ovat valmiina useimmat maailman ihmiset ovat suuressa vaarassa ottaessaan käteensä tai otsaansa pedon merkin, sillä kaiken takana on saatana!

Emme tiedä vielä, kuka on peto (toki paljon arvailuja on liikkeellä) tai kuka rakentaa mikrosiruihin tarvittavat ohjelmat ja komponentit. Emme myöskään tiedä, mikä on pedon tunnus. Mutta silloin kun meitä kehotetaan palvomaan petoa tiedämme, että aika on koittanut. Meidän ei tule panna pedon merkkiä otsaamme tai käteemme ja antaa joidenkin tahojen varastaa yksityisyytemme ja vielä pahempaa - sielumme.

   
Copyright Tapio Markula 1999-2003, Salo (kotisivu, s-posti - lisää s-postiosoitteeseen pisteellä erotettuna nimeni, Tapio Markula) (tapio.markula@dnainternet.net) - ei julkiskäyttöön ilman sopimusta.
Get Expression!
Editori, jolla saa luotua standardit täyttäviä HTML ja XML dokumentteja. Tämän sivuston sivut on useimmissa tapauksissa tarkastettu Dave Raggetin (W3C) tekemällä HTML-Tidy apuohjelmalla ja satunnaisesti W3C-organisaation virallisella koodintarkastusohjelmalla. Useimpien sivujen syntaksin pitäisi olla sopusoinnussa W3C:n XHTML 1.0 spesifikaation kanssa. Testaa tämä sivu!
Informaatiota selaimista, jotka näyttävät or tulostavat tämän sivuston parhaiten.
Tältä sivustolta suoritetun etsinnän on toteuttanut FreeFind.
[Hae Opera] [Hae Mozilla!]
Sekalaisia teknisluonteisia sivuja on viimeksi muutettu 28.01.2004