Mitä yksityisyys on?

Yksityisyydellä tarkoitetaan luonnollisen henkilön oikeutta suojautua ulkopuoliselta puuttumiselta, sekä oikeutta mahdollisuuksiin suojautua ulkopuoliselta puuttumiselta. Oikeutta yksityisyyteen pidetään yhtenä ihmisoikeuksista ja siitä säädetään YK:n ihmisoikeuksien julistuksen 12. artiklassa.

Älköön mielivaltaisesti puututtako kenenkään yksityiselämään, perheeseen, kotiin tai kirjeenvaihtoon älköönkä loukattako kenenkään kunniaa ja mainetta. Jokaisella on oikeus lain suojaan sellaista puuttumista tai loukkausta vastaan.

YK:n ihmisoikeuksienjulistus, 12. artikla.

Miksi yksityisyyttä pidetään tärkeänä, vai pidetäänkö?

Oikeutta yksityisyyteen pidetään universaalina, kaikille kuuluvana, ihmisoikeutena. Tämän ihmisoikeuden turvaamisen on katsottu olevan tärkeää toisen maailmansodan hirmutekojen toistumisen ehkäisemiseksi. Kuitenkin kuluneen vuosikymmenen aikana on alettu kyseenalaistaa sen tarpeellisuutta, milloin piratismin, milloin vihapuheen kitkemisen yhteydessä. Ihmiset entistä enemmän jakavat tietojaan vailla huolen häivää milloin arvontoihin milloin kasvottomien tietojenkalasteluyritysten mobiilipeleihin tai "testaa mikä leipä olet"-facebookvisoihin. Juuri ketään ei tunnu haittaavan aika-ajoin otsikoihin tupsahtelevat paljastukset siitä kuinka kännykkämme nauhoittavat puhettamme, sijaintiamme, ympäri vuorokauden.

Kuinka olemme siirtyneet ajasta jolloin yksityisyyden turvaamista pidettiin ensisijaisen tärkeänä toisen maailmansodan kaltaisten täyskatastrofien ja hirmutekojen ehkäisyssä, aikaan jossa anonyymiä viestintää yritetään estää mielipahan ehkäisemisen varjolla? Tänä päivänä on täysin normaalia että valtiot, yritykset, ja lukemattomat muut tahot seuraavat meidän jokaista liikettämme, ostostamme, sosiaalista kontaktiamme. Hinta jonka maksamme todella tehokkaiden työkalujen käytöstä on yksityisyytemme, mutta kutsumme niitä ilmaisiksi. Harva miettii koko aihetta ennen kuin se tulee konkreettisesti osaksi arkipäivää - toisille vaikkapa vainoajan takia, joillekin hirmuhallitsijan sortovallan kautta. Koskaan ei voi olla varma ettei joudu joskus tilanteeseen jossa salattu viestintä on elinehto.

Mitä teen, kun tulee ikävä yksityisyyttä?

Noin kysyi sisäinen salaliittoteoreetikkoni keskustellessani aiheesta ystäväni kanssa. Ystävä kysyi tyynesti että miksi ihmeessä kenelläkään tarvitsisi olla oikeutta tai mahdollisuutta käyttää nettiä anonyymisti. Kiinan valtio onkin päättänyt ettei ole. Eikä kenelläkään Kiinassa ole myöskään oikeutta esimerkiksi kommunikoida huonomaineisen henkilön kanssa ilman seurauksia.

China is marrying Big Brother to Big Data. Every citizen will be watched and their behaviour scored in the most ambitious and sophisticated system of social control in history.

Matthew Carney, ABC News

Minusta Kiinan malli on sekä pelottava että aivan saakelin pelottava, ja vaarallinen. En haluaisi joutua arvostelluksi valtiotasolla pakastepizzavalintani tai baariseurani perusteella. En myöskään varsinaisesti pidä nykyisestä trendistä kaivella ihmisten twitterpostauksia kymmenen vuoden takaa pelkästään julkisen nöyryytyksen ja sosiaalisen ristiinnaulitsemisen vuoksi. Mitä sitten tulisi tehdä, jos haluaa pysyä piilossa? Kuka osaisi aiheessa neuvoa?

Näkymättömyyden taito

Käännyin kirjojen kautta tutuksi tulleen Kevin Mitnickin puoleen, ja tartuin kirjaan nimeltä The Art of Invisibility, vapaasti suomennettuna näkymättömyyden taito. Kirjassa FBI:lta piileskellyt Mitnick kertoo askel askeleelta miksi oikein mikään varovaisuuden taso ei riitä, ja käy todella yksityiskohtaisesti läpi kuinka pienet ja yleiset lipsahdukset johtaa helposti siihen että kaikki vaivannäkö on turhaa. Näkymättömyys on rankkaa ja äärimmäisen työlästä, mutta vielä jotenkuten mahdollista.

1. Purchase prepaid gift cards anonymously. In the EU, you can purchase prepaid credit cards anonymously at viabuy.com

2. Use open Wi-Fi after changing your MAC address

3. Find an e-mail provider that allows you to sign up without SMS validation. Or you can sign up for a Skype-in number using Tor and a prepaid gift card. With Skype-in, you can receive voice calls to verify your identity. Make sure you are out of camera view (i.e., not in a Starbucks or anywhere else with camera surveillance). Use Tor to mask your location when you sign up for this e-mail service.

4. Using your new anonymous e-mail address, sign up at a site such as paxful.com, again using Tor, to sign up for a Bitcoin wallet and buy a supply of Bitcoin. Pay for them using the prepaid gift cards.

5. Set up a second anonymous e-mail address and new secondary Bitcoin wallet after closing and establishing a new Tor circuit to prevent any association with the first e-mail account and wallet.

6. Use a Bitcoin laundering service such as bitlaunder.com to make it hard to trace the currency's origin. Have the laundered Bitcoin sent to the second Bitcoin address.

7. Sign up for a VPN service using the laundered Bitcoin that does not log traffic or IP connections. You can usually find out what is logged by reviewing the VPN provider's privacy policy. (e.g., TorGuard).

8. Have a cutout obtain a burner portable hotspot device on your behalf. Give the cutout cash to purchase it.

9. To access the Internet, use the burner hotspot device away from home, work, and your other cellular devices.

10. Once powered up, connect to VPN through the burner hotspot device.

11. Use Tor to browse the Internet.

Kevin Mitnick, Art of Invisibility

Oheisella listalla on tiivistelmä kirjan aiheista muistilistana. Kaikki tuo, vain jotta voit viestiä Internetin kautta ilman pelkoa että kohta ovellasi on diktaattorin teloitusjoukot. Yksikin lipsahdus voi vesittää koko operaation.

Jos nyt ajattelet että olet kyllä ladannut laittomasti elokuvia ja musiikkia saamatta siitä sakkoja, tai kenties jopa ostanut laittomia päihteitä netistä onnistuneesti, niin tiedä ettei se tarkoita etteikö sinua olisi pystytty jäljittämään - siihen vain ei ole ollut tarpeeksi tarvetta. Hienostuneemmat tutkinnat vaativat vielä toistaiseksi paljon resursseja, kuten aikaa ja rahaa.

Minusta on todella hienoa, että vielä ei olla sellaisessa tilanteessa jossa yksittäisten ihmisten, poliitisten puolueiden, tai istuvan hallituksen äkkinäisestä päätöksestä voitaisiin kitkeä kaikki keinot kansalaiselta suojella yksityisyyttään, mutta aiheesta on tärkeää puhua ettei keskustelu lipsu liikaa totalitaarista valtiovaltaa havittelevien vallanhimoajien retoriikkaan ja monopoliin. Oikeutta yksityisyyteen eivät tarvitse vain poliisia välttelevät rikolliset, vaan jokainen meistä. Kun meiltä viedään kyky salattuun viestintään, meiltä voidaan viedä kaikki muukin.

Kevin D. Mitnick

Nykyään Kevin David Mitnick pyörittää maineikasta tietoturvayritystä (Kevin Mitnick and The Global Ghost Team) mutta matka on ollut pitkä ja vaiheikas. Suojautuakseen rikollisilta tulee tietää miten rikolliset ajattelevat, ja siinä ollaan Mitnickin osaamisalueen ytimessä.

Jo kaksitoistavuotiaana Kalifornialainen Mitnick kiersi lakia huijaamalla bussikuskia kertomaan paikallisen bussijärjestelmän toiminnasta tarpeeksi että pystyi itse tekemään omat bussilippunsa ja täten matkusti ilmaiseksi alueella mihin vain, milloin vain. Myöhemmin tästä niin kutsutusta sosiaalisesta peukaloinnista (kts. Social Engineering) tuli Mitnickin suosikkityökalu tietojen hankintaan.

Myöhemmin Mitnick teki paljon muutakin, puhelinlinjojen salakuuntelusta sähköposteihin murtautumiseen, mutta viimein päätyi vankilaan vasta isommista yritysmurroista useamman vuoden pakoilun jälkeen ja vietti viitisen vuotta telkien takana. Huhu kertoo että kahdeksan kuukautta siitä eristyssellissä koska lainvalvojat saivat uskoteltua tuomarille että Mitnick voi laukaista ydinkärkiä puhaltamalla puhelimeen.

Mitnickiä ei motivoinut raha, ei poliittinen agenda, eikä vieraan vallan päämäärien edistäminen. Mitnick oli älyllisesti utelias, ja nuorena keppostelija. Jokainen järjestelmä oli haaste, tekniset laitteet kiehtovia. Vaikka melkein kaikkea mitä Mitnick teki olisi voinut käyttää valtavaan tuhoon, ryöstöihin, kiristyksiin, se mitä todella tapahtui oli ilmaisia bussilippuja nuorelle Kevinille, ja hämmennystä McDonaldsin autokaistalla jonka tilauksia vastaanottavan radion kuusitoistavuotias poika oli hakkeroinut omaan käyttöönsä.

Petoksen taito - The Art of Deception

Nykyään Mitnick ei ole enää nuori poika, eikä myöskään rikollinen. Hänet tunnetaan "hattua vaihtaneena hakkerina" eli cowboytermein mustasta pahiksen lakista valkoiseen hyviksen lakkiin vaihtaneena hyviksenä jolla on värikäs historia. Nyt Mitnick suurella innolla ja ylpeydellä opastaa meitä maallikoita suojautumaan pahantahtoisilta urkkijoilta sekä hassuttelevilta keppostelijoilta. Mitnickin yritys keskittyy niin kutsuttuun penetration testingiin, eli käytännössä tekee hyökkäyksiä asiakasyritykseen testatakseen sen tietoturvaa. Toiminta sisältää laajan kirjon erilaisia taktiikoita ja mekanismeja joiden avulla yritykseltä pyritään saamaan salassapidettävää tietoa, tai pääsy alueille joiden kuuluisi olla turvattuna, tai mitä vaan. Jos asiakkaana on vaikka suurempi pankki, saattaa asiakas haluta yksinkertaisesti testata kuinka murtovarma heidän turvajärjestelmänsä on.

Meille maallikoille, joilla ei ole varaa palkata maailman parasta hakkeritiimiä opastamaan tietoturvan kanssa, on onneksi myös jotain. Mitnick on kirjoittanut lukuisia kirjoja tietoturvaan liittyen.

Tämä kirjoitus keskittyy lähinnä yrityksen tietoturvaan ja kirjaan The Art of Deception. Kirjassa Mitnick kertoo omien kokemuksien ja tarinoiden kautta tapauskohtaisesti esimerkkejä oikeasta elämästä, kuinka isoihin yrityksiin on murtauduttu, minkälaisia huijareita on ollut liikkeellä. Kaikissa kirjan esimerkeissä keskeistä on että hyödynnetty heikko lenkki, aukko tietoturvassa, on aina ihminen. Minä, sinä, pomo, alainen, tai vaikka yhteistyökumppani.

Me olemme ihmisiä. Ihminen on ailahteleva, tekosyitä keksivä, hajamielinen, tunteikas. Suurin "syntimme" kuitenkin usein on avuliaisuus ja hyväntahtoisuus. Vastaamme puheluun - soittaja esittäytyy kollegana joka on jäänyt oven taakse jumiin ja kokous alkaa pian. Hänellä ei ole kulkukorttia, koska unohti sen autoon ja aviomies joka toi töihin on jo ehtinyt jatkaa matkaansa. Tottakai avaamme hänelle oven. Hän halaa ja kiittelee ja pahoittelee ettei ehdi tarjoamaan kahvia, kun joutuu juoksemaan kokoukseen. Meille jää hyvä mieli, olemme tehneet hyvän teon. Todellisuudessa kuitenkin soittaja saattoi olla yritysvakooja, ryöstäjä, toimittaja, tai jotain muuta. Numero johon hän soitti löytyi firman nettisivuilta ja muita mahdollisia käytäntöjä ja firman sisäistä slangia hän oli oppinut juopuneelta kollegalta baarissa viikkoa aiemmin. Nyt tämä avuntarvitsija kerää talteen puolityhjän toimiston asiakastiedot, näkyvillä olevat salasanat ja käyttäjätunnukset, talousluvut, jopa pankkitunnukset ja kortit jos niitä säilytetään näkyvillä tai vetolaatikossa, samalla kun muut työntekijät olettavat hänen olevan oven avaajan tuttu, sillä eihän kukaan nyt tuntemattomille availisi lukittua ovea.

Keinot ovat monet. Vaikka yrityksessä olisi sovittu ja pidettäisiin kiinni ettei ulkopuolisia päästetä valvomatta toimistoon, aukkoja löytyy silti. Onko kaikki kartalla mitä tietoja saa ja mitä ei saa luvouttaa ulkopuolisille puhelimitse? Millä tavalla soittajan henkilöllisyys varmennetaan? Jos tavoitellun yhteistyökumppanin edustaja soittaa ja ehdottaa vuosisadan diiliä, muistetaanko varmistaa soittajan henkilöllisyys, vai puhutaanko innolla ja kiireessä liikaa? Tiedustelijoiden lisäksi haavoittuvuuksia on monia. Niinkin yksinkertainen asia, kuin salassapidettävien dokumenttien säilytys ja hävitys on uskomattoman vaikeaa saada oikeasti toteutumaan suunnitellusti. Paperit unohtuvat työpöydille, tai tavallisiin roskiksiin. Kun roskapussit viedään ulos, kuvitellaan että pusseihin kätketyt jätteet katoavat, mutta todellisuudessa roskissukeltaminen on jotain mitä jopa tiedustelupalvelut tekevät edelleen. Sen takia on äärimmäisen tärkeää että salassapidettävät dokumentit jotka hävitetään hävitetään kunnolla - silppurilla joka leikkaa vähintään kahdesta suunnasta, tai vaikka polttamalla, mutta vielä sitäkin tärkeämpää on että työntekijät kaikilla portailla ovat sitoutuneet suunnitelmaan ja noudattavat sitä tarkasti.

Meistä ihmisistä pahimpia tietoturva-aukkoja on sitoutumattomat työntekijät. Henkilöt jotka "tekee vaan työtään" menemällä sieltä missä aita on matalin, välittämättä seurauksista. Luottaen siihen että kaikki minkä voi kuitata inhimilliseksi virheeksi tai peitellä tekosyyllä on okei jättää huomiotta, tekemättä, tarkistamatta. Sitoutumattomuus kuitenkin on enemmän hallinnollinen ongelma kuin yksilön valuvika, ainakin useimmissa tapauksissa. Jos palkka on poljettu laillisuuden rajamaille, työilmapiiri tulehtunut ja pomot autoritäärisiä kusipäitä, niin ei siinä ketään kiinnosta tehdä yhtään seurausten uhalla vaaditun minimin yli.

Miten sitten pitää huolta tietoturvasta, kun se kuulostaa niin hankalalta? Yrityksen tulee luoda selkeät tietoturvakäytännöt joita on ensisijaisesti helppo noudattaa. Liian vaikeat, liian monimutkaiset menee aina yli ymmärryksen tai vähintään unohtuu seuraavaan kahvitaukoon mennessä. Muutama yksinkertainen nyrkkisääntö ikäänkuin huoneentauluksi seinälle. Säännöt tulee suunnitella aina yrityskohtaisesti, mutta ne voivat olla esimerkiksi tietojen selkeä luokittelu niihin joita voidaan jakaa ulos ja niihin joita ei missään nimessä jaeta ulos. Luottamuksellisten dokumenttien säilöminen yhdessä paikassa lukkojen takana on myös hyvä idea, samoin niiden hävittäminen pelkästään tietyn luotettavan silppurin kautta. Kun tietokoneet on suojattu, ja luottamukselliset asiakirjat poissa näkyviltä, ei tarvitse kantaa niin suurta huolta päätyykö toimistoon pyörimään ulkopuolisia vai ei. Kaikista tärkeintä on kuitenkin pitää huolta työntekijöiden tyytyväisyydestä ja sitoutuneisuudesta. Tyytyväinen firman tulevaisuudesta kiinnostunut työntekijä on aina valmis korjaamaan löytämänsä tietoturva-aukot, tarkistamaan tuntemattoman toimistovierailijan henkilöllisyyden, ja kaikin puolin näkemään aina hieman vaadittua enemmän vaivaa yhteisen hyvän eteen.

Tehokkuus vai tietoturva?

Tietoturvasuunnitelmaa tehdessä ei kannata kuitenkaan lähteä väkisin tukkimaan kaikkia aukkoja tehokkuuden kustannuksella. Jossain vaiheessa mennään sen rajan yli, että moninkertaiset tarkistukset joka kahvitauon jälkeen eivät enää merkittävästi lisää tietoturvaa, mutta alentavat tehokkuutta ja sen myötä ylipäätään heikentävät sitä alunperäistä syytä miksi tietoturvaa yrityksessä tarvitaan - liiketoimintaa. Kenties vaikein tehtävä on löytää se sopiva tasapaino tietoturvan ja tehokkuuden välillä, mutta se on myös ehdottoman tärkeää.

Lähteet

Kevin D. Mitnick
https://en.wikipedia.org/wiki/Kevin_Mitnick
https://mitnicksecurity.com/
https://www.rt.com/shows/sophieco/238269-hacker-cyber-adventurer-fbi/

The Beirut Bank Job / Darkweb Diaries
https://darknetdiaries.com/episode/6/

ArtofDeception.JPG

Art of Deception, Kevin Mitnick & William L Simon
Wildcard Group Partner