Hakkerit vierainamme

Hakkerit pystyvät tänä päivänä melkein mihin tahansa. Olemmeko me tietotekniikan käyttäjät varomattomuudellamme, naiiviudellamme ja helpon elämän tavoittelullamme luoneet hakkereille mahdollisuuden tunkeutua elämäämme miten ja milloin tahtovat? Vai onko meidän vain totuttava ja sopeuduttava siihen, että joku on aina askeleen edellä tekniikan kehityksestä ja kykenee hyötymään tilanteesta merkittävällä, joko rikollisella tai muuten vain kyseenalaisella tavalla?

Muutama päivä sitten mediassa julkaistiin artikkeleita, joiden mukaan eräs tutkijapariskunta oli onnistunut tunkeutumaan älykiväärin järjestelmiin sen käyttämän Wi-Fi-yhteyden kautta ja hyödyntämään älykiväärin ohjelmistosta löytyneitä heikkouksia. Tutkijoiden kehittämillä tekniikoilla on mahdollista mm. häiritä aseella tähtäämistä tai jopa kokonaan estää laukaisu. Vain mielikuvitus on rajana, kun miettii, minkälaisia mahdollisuuksia nämä tekniikat avaavat, niin sodan kuin rauhan olosuhteissa. Kovin yleisiä älykiväärit eivät ainakaan kuluttajapuolella vielä ole, johtuen ehkä siitä, että ne ovat äärimmäisen kalliita.

Huolestuttavampaa arkielämän kannalta on ehkä autojen hakkerointi. Toinen tutkijakaksikko oli puolestaan löytänyt tavan päästä käsiksi Jeep Cherokee -merkkisen auton järjestelmiin ja muun muassa säätämään auton ilmastointia, muuttamaan radiokanavaa, käynnistämään tuulilasinpyyhkijät ja lopuksi vielä hidastamaan auton nopeuden mateluksi keskellä vilkasliikenteistä moottoritietä. Auton kuljettaja ei kyennyt vaikuttamaan tapahtumiin millään tavalla. Tutkijat hyödynsivät nk. nollapäivähaavoittuvuutta, jonka avulla hyökkääjä voi Internetin kautta ottaa langattomasti hallintaansa jopa tuhansia ajoneuvoja kerrallaan. Jälleen vain mielikuvitus on rajana pohdittaessa, minkälaisia tilanteita tällaisista kaappauksista voi seurata.

Maailma on uhkakuvia täynnä, ja tietenkin voidaan esittää kysymys, minkälainen motiivi jollakulla hakkerilla voisi olla häiritä tavallisten ihmisten elämää vaikkapa edellä kuvatuilla tavoilla. Nämä tutkijat olivat tehneet täysipäiväisesti ja ammattimaisesti työtä jopa vuoden ajan löytääkseen tavan murtautua näihin tiettyihin verkkoihin ja tietokonejärjestelmiin.

Voidaanko ajatella, että maailmanlaajuisen talouskriisin myötä maapallollamme asustaa koko ajan enemmän ihmisiä, joilla on hyvinkin aikaa ja halua moiseen? Jos ei huvin vuoksi, niin korvausta vastaan? James Bond -elokuvien välittämä maailmankuva kostonhimoisine superrikollisineen on muuttumassa todeksi?

Jos kuitenkin pysytellään meidän pienten ihmisten tasolla, niin melko säväyttävä oli myös tarina torontolaisesta nuoresta parista, joka joutui tavallisena keskiviikkoiltana kotonaan vakoilun kohteeksi.

Nuori mies ja nainen olivat työstä uupuneina päättäneet viettää illan suosikkisarjansa parissa ja käyttivät Netflixin katseluun miehen PC:tä, joka oli vanhahko kannettava tietokone. Konetta ei käytetty tämän lisäksi oikeastaan muuhun kuin satunnaiseen pelaamiseen. Nainen ei ollut kertomansa mukaan käyttänyt konetta lainkaan.

Seuraavana päivänä työpäivän jälkeen nainen kirjautui omalla koneellaan Facebookiin ja koki kauhun hetkiä havaittuaan, että ventovieras henkilö oli lähettänyt hänelle kuvia, joissa hän itse loikoili sängyllä hyvin intiimisti miesystävänsä kanssa. Nainen tunnisti heti tilanteen ja tajusi, että kuvat oli otettu edellisenä iltana heidän käyttämänsä kannettavan tietokoneen sisäänrakennetun nettikameran kautta.  Kuviin oli tunkeutuja lisännyt tekstin: ”Realy,cute couple” sekä sydänsilmähymiön. Profiilikuvana oli Heath Ledgerin esittämä Joker Batman-elokuvasta.

Nainen oli heti ottanut yhteyttä poliisiin, mutta poliisi ei ollut kyennyt välittömästi tekemään asialle juuri mitään. Vieras henkilö ei ollut ennestään naisen Facebook-tuttava, vaan oli ilmeisesti onnistunut ujuttautumaan tämän kaverilistalle ja lähettämään kuvat. Naisen Facebook-tilin yksityisyysasetukset olivat olleet asianmukaiset, eikä kenenkään ulkopuolisen olisi pitänyt kyetä lähettämään hänelle viestejä. Jonkin ajan kuluttua poliisin edustaja otti yhteyttä ja ilmoitti, että kannettava tietokone ja reititin tullaan noutamaan tutkimuksia varten.

Erikoiseksi tapauksen tekee juuri se, että tunkeutuja oli kyennyt jäljittämään naisen, tunnistamaan tämän ja murtautumaan hänen Facebook-tililleen miesystävän tietokoneen kautta kaapattujen kuvien perusteella. Yksi teoria onkin, että tunkeutuja tunsi pariskunnan ennestään jollain tavalla. Tai sitten hän on poikkeuksellisen sinnikäs.

Viestin lähettäjän ilmeisesti tekaistusta ja sittemmin poistetusta profiilista kävi ilmi, että hän seurasi useiden jalkapalloseurojen toimintaa ja kuului ”Spammers and Hackers” -nimiseen ryhmään. Profiilin mukaan henkilö asui Kairossa, Egyptissä. Juuri tämä yksityiskohta on hämmentävä. Jos joku haluaa ruveta vakoilemaan jotakuta toista maapallon toiselta puolelta, motiivina on oltava vähintään kiristämisen aie, sanoo asiasta tietoturvaekspertti Eric Parent.

Poliisin on Parentin mukaan vaikeata puuttua vakoiluun, koska vakoilijan jäljittäminen on vaikeata. Kyseisessä tapauksessa poliisilla olisi oikeus saada tietoonsa epäillyn vakoilijan ip-osoite Facebookin ylläpidolta.  Parent toteaa myös, että tämänkaltaisilta hyökkäyksiltä on hyvin vaikeata suojautua, koska hyökkäykset ovat ylipäätään mahdollisia juuri tavanomaisten, päivittäisten tietokoneella tehtävien toimien, kuten sähköpostien avaamisen takia. Ainoa keino on hankkia tietoturvaohjelma, pitää koneen päivitykset ajan tasalla ja toivoa parasta.

Sittemmin nainen on peittänyt tietokoneensa nettikameran laastarilla.

Onneksi on Photo Sync

Taannoin päivitin uutisesta, jonka mukaan Facebookin Photo Sync -ominaisuudessa on havaittu huomattava haavoittuvuus.

Maailmalla nopeasti levinnyt uutinen on arvatenkin herättänyt Facebookin käyttäjissä epävarmuutta ja jotkut ovat saattaneet poistaa toiminnon käytöstä kokonaan. Aika häpeällistä kieltämättä on, että tuo haavoittuvuus on nähtävästi ollut olemassa aina Photo Syncin käyttöönotosta eli vuoden 2012 loppupuolelta lähtien.

Mutta kuten sanonta kuuluu: ei mitään niin huonoa ettei jotain hyvääkin.

Kyseinen ominaisuus voi nimittäin paljastaa puhelinvarkaan.

Rawley Binghamilta varastettiin hänen omien sanojensa mukaan denveriläisbaarissa iPhone, jossa Facebookin Photo Sync -ominaisuus oli aktivoituna. Pian puhelimen katoamisen jälkeen hänen piilotettuun kuvakansioonsa Facebookissa alkoi yhtäkkiä ilmestyä tunnistamattoman naisen ottamia selfieitä. Binghamin mukaan kuvia kertyi kaiken kaikkiaan yli 30.

Kuvien nainen, jonka siis nyt epäillään olevan puhelinvaras, oli osannut ottaa ”Etsi iPhoneni” -toiminnon pois päältä, mutta tätä Facebookin ominaisuutta hän ei nähtävästi ollut havainnut. Selfieitä oli joka puolelta kaupunkia.

Rawley Bingham otti yhteyttä poliisiin ja nyt on luvassa 2000 dollarin palkkio vihjeistä, joiden perusteella kuvien naisen henkilöllisyys saadaan selville.

Niin että ehkä ei kannatakaan hätiköidä Phone Syncin kanssa. Haavoittuvuushan on jo korjattu.

Suojaa kuvasi

Swati Khandelwal kirjoitti The Hacker News-julkaisussa  Facebook Photo Sync -ominaisuudessa havaitusta haavoittuvuudesta. Ominaisuus on käytettävissä iPhone-, iPad- ja Android-laitteissa. Sen avulla käyttäjä voi synkronoida mobiililaitteessa olevat kuvat automaattisesti Facebook-tilin kanssa, eli kuvat ladataan automaattisesti taustatoimintona mobiililaitteesta käyttäjän yksityiseen, piilotettuun albumiin Facebookissa. Albumi ei näy käyttäjän kontakteille tai muille käyttäjille. Näitä kuvia voidaan kuitenkin jakaa Facebookin aikajanalla tai lähettää viestinä kavereille.

Haavoittuvuuksia etsitään myös ansaitsemistarkoituksessa. Suuret internet-palvelujentarjoajat maksavat palkkioita henkilöille, jotka paljastavat löytämänsä haavoittuvuudet oma-aloitteisesti. Kaikki hakkerit eivät tee työtään vain kiusatakseen tai vahingoittaakseen internet-kansaa. Epäilemättä tähän toimintaan saattaa pahimmillaan sisältyä myös kiristyksen mahdollisuus.

Eräs palkkionmetsästäjä (bug bounty hunter), Laxman Muthiyah, havaitsi tämän kriittisen haavoittuvuuden Facebook Photo Sync -ominaisuudesta ja Facebook API:sta. Haavoittuvuuden takia kuka tahansa ns. kolmas osapuoli, eli tunkeilija, voi päästä käsiksi kenen tahansa piilotetussa Facebook Photo Sync -albumissa oleviin valokuviin.

Teknisesti tämä on mahdollista siksi, kuten Laxman Muthiyah blogissaan kuvailee, että haavoittuvuus sijaitsee käyttäjäoikeuksia valvovassa osassa, joka tarkistaa vain sisään pyrkijän käyttöoikeustunnuksen eikä tunnista vaikkapa sovellusta, joka yrittää päästä albumiin. Silloin mikä tahansa sovellus, jolla on albumin käyttäjäoikeudet, voi päästä albumiin, vaikka ainoastaan virallisen Facebook-sovelluksen tulisi päästä sinne. Aiemmin Laxman on paljastanut haavoittuvuuden, jolla saattoi poistaa kenen tahansa käyttäjän tai käyttäjäryhmän minkä tahansa valokuva-albumin.

Facebook on tiettävästi korjannut haavoittuvuuden ja maksanut Laxmanille 10.000 dollaria palkkio-ohjelmansa mukaisesti. Siitä huolimatta ei ehkä ole huono ajatus, että kyseinen ominaisuus otettaisiin pois käytöstä, vaikka vain varmuuden vuoksi.

Ominaisuuden saa pois käytöstä näin:

Android-laitteessa:

1. Avaa Facebook ja mene vasemmassa ylälaidassa olevaan päävalikkoon.
2. Selaa alaspäin. Valitse Tili (Account), Sovellusasetukset (App Settings) ja lopuksi Synkronoi kuvat (Sync Photos).
3. Valitse Älä synkronoi kuviani (Don’t sync my photos).

Applen iOS-laitteessa (iPhone tai iPad):

1. Avaa Facebook ja mene vasemmassa ylälaidassa olevaan päävalikkoon.
2. Valitse Kuvat (Photos).
3. Valitse alhaalta Synkronoitu (Synced).
4. Valitse harmaasta hammasrataskuviosta Poista valokuvien synkronointi käytöstä(Turn off Photo Sync).
5. Valitse vielä Älä synkronoi kuviani (Don’t sync my photos).

Tuntevatko tietokoneet meidät omaa äitiämmekin paremmin?

Törmäsin netissä surffaillessani artikkeliin, jossa kerrottiin PNAS:in (Proceedings of the National Academy of Sciences) julkistamasta tutkimustuloksesta. Artikkelin otsikko oli vapaasti suomennettuna: Pystyykö tietokone arvioimaan persoonallisuuttasi paremmin kuin oma äitisi?

Tekstissä viitattu tutkimus on melko tuore. Lyhyesti kerrottuna siinä osoitetaan, että tietokonemallit pystyvät arvioimaan ihmisen persoonallisuutta luotettavasti.

Tutkimustulos on tiivistetty graafisena esityksenä, jonka mukaan näyttäisi siltä, että tietokonemalli pystyy arvioimaan henkilön persoonallisuutta lähes yhtä tarkasti kuin tämän puoliso tai elämänkumppani. Perhe ja ystävät laahaavat jäljessä. Vähiten tietävät työkaverit. Tietokonemalli tarvitsee analyysiään varten tiedot noin 100 koehenkilön tykkäyksestä, joilla koehenkilö on osoittanut tykkäävänsä vaikkapa tietystä musiikista, kirjoista, televisio-ohjelmista tai elokuvista. Toisten ihmisten tilapäivitysten tai valokuvien tykkäämiset eivät olleet tässä merkittäviä.

Tutkimuksessa verrataan ihmisen ja tietokoneen tekemien arviointien tarkkuutta. 86.220 vapaaehtoista koehenkilöä täytti 100-kohtaisen persoonallisuutta koskevan IPIP-kyselylomakkeen heille osoitetusta koehenkilöstä. Osa arvioista oli yhden, osa kahden Facebook-kaverin antamia samasta koehenkilöstä. Tutkijat osoittivat muun muassa, että tietokoneen luomat ennusteet, jotka perustuivat Facebook-tykkäysten tuottamaan, geneeriseen digitaaliseen jalanjälkeen olivat tarkempia kuin ennusteet, jotka osallistujen Facebook-kaverit laativat koehenkilöstä kyselylomakkeen avulla. Arvioitavat persoonallisuuden piirteet olivat avoimuus, tunnollisuus, ulospäinsuuntautuneisuus, suostuvaisuus ja neuroottisuus.

Tutkijat toteavat, että toisten ihmisten persoonallisuuden arvioiminen on merkittävä osa sosiaalista kanssakäymistä. Arvioiden perusteella tehdään tärkeitä päätöksiä yksityis- ja työelämässä, niin päivittäin kuin pitkällä tähtäimellä, kuten esimerkiksi kenen kanssa mennä naimisiin, tai ryhtyä ystäväksi, tai palkata töihin, tai valita presidentiksi. Mitä tarkempi arvio, sitä parempi päätös. Aiemmin on jo todettu, että ihmiset ovat melko taitavia arvioimaan toistensa persoonallisuuksia. Jopa toisilleen ventovieraat ihmiset kykenevät tekemään oikeita havaintoja lyhyen videon perusteella.

Näiden tutkimustulosten mukaan tietokonemalli voi kuitenkin olla yhtä hyvä, tai jopa parempi arvioimaan tietyn ihmisen persoonallisuutta kuin toinen, tälle läheinenkin ihminen. Jos näin todella on, ”kyky arvioida täsmällisesti psykologisia piirteitä ja tiloja käyttäytymisen digitaalisia jalanjälkiä tutkimalla on tärkeä virstanpylväs matkalla kohti sosiaalisempaa ihmisen ja tietokoneen välistä vuorovaikutusta”, kuten tutkijat lopuksi toteavat.

Sovellusmahdollisuuksia näille käsityksille on varmaan runsaasti, esimerkiksi sosiaalisen median, markkinoinnin ja rekrytoinnin aloilla. Voisikohan kehitys parhaimmillaan johtaa siihen, että päästään lopullisesti eroon vaikkapa tällaisesta.

Facebook-pulmia

Olen saanut muutamia kyselyitä liittyen Facebookin käytössä ilmenneisiin ongelmiin tai muuten vain kiusallisiin tilanteisiin. Esimerkiksi mainonta puhuttaa ja ärsyttää, ja yksityisyys mietityttää.

Kysymys: Voinko estää kaikki kommentti-ilmoitukset siten, että kaverit eivät voi nähdä, jos kommentoin jotakin päivitystä?

Kun olet kirjautuneena Facebookiin, ilmoitukset näytetään reaaliaikaisesti, kun kaverit ovat  yhteydessä sinuun (esimerkiksi julkaisevat jotain aikajanallasi tai kommentoivat julkaisuasi). Samoin he näkevät, jos olet yhteydessä heihin tai kommentoit heidän julkaisuaan.

Ilmoituksia ei voi kokonaan ottaa pois päältä, mutta ilmoitusten tuloa voi jossain määrin rajoittaa esimerkiksi ryhmien osalta:

Jos haluat muuttaa ryhmän ilmoitusasetuksiasi, mene ryhmän profiilisivulle ja klikkaa Ilmoitukset-painiketta ryhmän kansikuvan oikeassa yläkulmassa. Voit valita seuraavat:

• Kaikki julkaisut: saat ilmoitukset kaikista uusista julkaisuista ryhmässä.
• Kohokohdat: saat ilmoitukset suosituista julkaisuista ja kavereiden julkaisuista. Suosittu julkaisu voi olla eniten tykätty julkaisu tai julkaisu, joka on saanut eniten kommentteja muutamana viime päivänä.
• Kavereiden julkaisut: saat ilmoituksia, kun kaverisi julkaisevat.
• Pois: et saa ilmoituksia uusista julkaisuista ryhmässä.

Jos et halua enää seurata jonkin ryhmän tiettyyn julkaisuun liittyvää kommentointia, mene julkaisun kohdalle ja klikkaa sen oikeassa yläkulmassa olevaa pientä alaspäin osoittavaa nuolta ja valitse Poista ilmoitukset käytöstä. Tämä estää siis ilmoitukset tietyn yhden julkaisun kommentoinnista.

Sosiaalisessa mediassa läsnäolo ja vuorovaikutus muiden kanssa ovat olennaisia toimia ja siksi niitä ei voi kokonaan toisilta, ja ainakaan omalta kontaktiverkostolta piilottaa.

Kysymys: Voinko piilottaa läsnäoloni, jolloin minua ei näy oikean laidan Keskustelu-palkissa?

Läsnäolonsa voi piilottaa klikkaamalla Keskustelu-ruutua vasemmassa alakulmassa, sekä sen jälkeen valitsemalla Asetukset (pieni rattaan näköinen kuvake) ja valitsemalla Poista keskustelu käytöstä. Tällöin kaverisi eivät näe, oletko Facebookissa vai et, koska läsnäoloasi ilmaiseva vihreä täplä katoaa. Et siis ole läsnä Keskustelussa. Nimesi näkyy kuitenkin edelleen kavereillesi.

Tämä on syytä tehdä erikseen kaikilla laitteilla, joilla käytät Facebookia.

Keskustelun poistaminen käytöstä ei myöskään estä kommentti-ilmoituksia eikä yksityisviestin lähettämistä.

Kysymys: Miksi Facebook aina vain tyrkyttää kohdennettuja mainoksia, jotka olen jo käynyt katsomassa ja todennut, etteivät ne kiinnosta minua?

Jos klikkaa mainosta Facebookissa, se avautuu ja sisältö tulee näkyviin. Klikkaaminen ei ikään kuin kuittaa mainosta nähdyksi, jolloin mainos lakkaisi näkymästä profiilissasi. Mainonnan teho perustuu toistoon ja siksi mainos tulee uudelleen näkyviin.

Kohdennetussa mainonnassa käytetään hyväksi ns. evästeitä (cookies). Evästeillä on kaksi tehtävää.

Ne muistavat selaimeen liittyvät käyttäjätunnukset, salasanat ja personointivalinnat kuten kieliasetukset. Lisäksi ne voivat tilastoida, millä sivustoilla selaimesi käy, ja määrittää sen perusteella mielenkiintosi kohteet. Tämän tiedon pohjalta mainostajat pystyvät näyttämään sivuilla sinua todennäköisesti kiinnostavia mainoksia. Evästeet huolehtivat myös siitä, ettei selaimellesi näytetä joka kerta samaa mainosta.

Evästeet voit poistaa tai estää selaimesi asetusten kautta. Tämä on tehtävä jokaisen käyttämäsi selaimen osalta erikseen. Evästeiden poistaminen voi toisaalta vaikuttaa kielteisesti joidenkin sivustojen toimintaan. Evästeet voi myös sallia yksittäin tapauskohtaisesti selaimesi asetuksista.

Mainosten kohdentamisen voi estää esim. YourOnlineChoices – tai Opt-Out From Online Behavioral Advertising -sivustoilla. Kohdentamisen esto ei estä kaikkia mainoksia näkymästä.

Yritin parhaani mukaan etsiä tietoa näistä aiheista. Jos joku blogini seuraajista tietää parempia vastauksia, olen kiitollinen jos päätät jakaa ne vaikkapa kommenttiosiossa.