Ruotsi aloitti verkkoliikenteen salakuuntelun: Mitä pitää tehdä ja tietää?

Juho Salminen
Talous 1.12.2009 16:51

Viestintäviraston tietoturvajohtaja Erka Koivunen ei usko yksityisihmisten tietoturvan vaarantuvan. Turvallinen viestiliikenne on silti myös käyttäjän vastuulla.

FRA Ruotsin sotilastiedustelun toimipaikka Tukholman lähistöllä. Kuva Urban Andersson / Aftonbladet / Lehtikuva.

Ruotsin kautta kulkeva internet-liikenne on tästä päivästä alkaen Ruotsin sotilastiedustelun seurattavissa.

Se tarkoittaa, että ruotsalaiset voivat salakuunnella suurta osaa Suomesta maailmalle suuntautuvasta nettiselailusta, sähköpostista ja pikaviestiliikenteestä.

Jos käyt vaikkapa New York Timesin tai YouTuben sivuilla, jolloin palveluntarjoaja sijaitsee jossain muualla kuin Suomessa, tähän kaapelia pitkin kulkevaan tietoon Ruotsin sotilastiedustelulla on mahdollisuus tarttua.

Ruotsin tapa seurata sähköistä viestintää ei ole maailmalla ainutlaatuista, vastaavaa toimintaa harjoittaa esimerkiksi Yhdysvalloissa NSA (National Security Agency).

Mitä tästä sitten pitäisi ajatella? Ruotsin sotilastiedustelu FRA on ilmoittanut käyttävänsä tietoja terrorismin torjuntaan.

”Jos ruotsalaiset torjuvat terrorismia, kuten on luvattu, se ei välittömästi vaaranna suomalaisten kansalaisen tietoturvaa, sanoo Erka Koivunen, joka on Viestintäviraston tietoturvayksikön päällikkö.

Viestintävirasto tiedotti perjantaina 27. marraskuuta, että teleyritysten pitää kertoa asiakkaalle, jos tämän tietoturva on vaarassa.

”Ei ole kuitenkaan toiveena, että teleyritykset lähtevät lietsomaan pelottelukampanjaa”, Koivunen sanoo.

”Se olisi suhteetonta, jos miettii, mikä on Ruotsin valtion laillisesti toimivan tiedusteluelimen todellinen uhka yksittäiselle käyttäjälle.”

Mitä pitää tietää?

Millaista tietoa netinkäyttäjän sitten pitää saada?

Koivunen antaa esimerkin:

”Jos nettiyhteyttä tarjotaan suomalaisena palveluna suomalaiselle asiakkaalle, minulla on kuluttajana lupa olettaa, että liikenne pysyy maan rajojen sisäpuolella. Ja jos ei pysy, siitä pitää ilmoittaa.”

Jos surffaa suomalaisella nettiliittymällä suomalaisille sivuille, viestiliikenne saattaa silti koukata ulkomaiden kautta. Kaikkien Suomessa toimivien operaattoreiden liikenne verkosta toiseen ei vaihdukaan Suomessa.

Koivunen kertoo esimerkin, jossa eräästä suomalaisesta verkosta toiseen palveluun suuntautuva reitti kulki Suomesta Ruotsin ja Norjan kautta takaisin Suomeen.

Kyse voi myös olla reititysvirheestä, joskus on joku reitti poikki ja joskus syy voi olla kaupallisesta riidasta teleyritysten välillä.

Yhtä kaikki: asiakkaalle pitää kertoa.

Se mitä asiakas tekee, onkin jo toinen juttu.

Mitä voi tehdä?

Asiakkaankin vastuulla on paljon – pitää ottaa selvää.

Jos käyttäjä surffaa vaikkapa New York Timesin sivuille Yhdysvaltoihin, operaattorilla ei ole velvollisuutta kertoa, että liikennettä voidaan kuunnella matkalla.

Viestintäviraston sivuilla on ohjeita sähköisen viestinnän suojaamisesta. Ne ovat tosin yleisluontoiset, Koivusen sanojen mukaan ”konseptuaaliset”.

Pitäisikö Viestintäviraston antaa yksityiskohtaisempia ohjeita? Vaiko koulun tai yksityisten yritysten?

”Viranomainen ei voi antaa tuotekohtaisia ohjeita. Se voisi olla joku muu taho, ei viranomainen.”

Koivunen sanoo pohdiskelleensa, olisiko tietoturvayrityksillä intoa moiseen liiketoimintaan. Ne tarjoavat jo nyt turvaa tietokoneille (virustorjuntaa ja palomuureja), joten miksi ei laajentaa viestiliikenteen salaamisen suuntaan.

”Tällaisen haasteen voisi teollisuudelle eli Suomen tapauksessa F-Securelle esittää. He toki vastaavat, että ei se ole niin yksinkertaista.”

Koivunen toivoo, että Ruotsin tapauksesta seuraisi ihmisten aktivoituminen.

”Olisi hyvä, että käyttäjät kiinnittäisivät nyt entistä enemmän huomiota viestin salaamiseen, jos haluaa pitää sen omana ja vastaanottajan tietona. Se ei riitä, että jättää sen fatalistisesti teleoperaattorin varaan.”

Kuinka ammattilainen itse salaa viestintänsä?

”Käytän sähköpostin salaamiseen PGP:tä (Pretty Good Privacy). Täytyy sanoa, että sen kanssa menee hermot. Ihmisillä on sen kanssa usein valtavia vaikeuksia. Tämä on kaikkea muuta kuin helppoa.”

Tiedustelu verkottuu

Koivunen sanoo, että FRA-tapaus on esimerkki jo jonkin aikaa vallalla olleesta trendistä: radiotiedustelu ei riitä, pitää alkaa tarkkailla kaapeleita eli käytännössä internetiä.

Se kuvaa tietoliikenneinfrastruktuurin rakenteen kehittymistä; se on trendi, mutta se ei ole uusi trendi.

Koivunen sanoo seuraavansa myös hieman huolestuneena joidenkin yritysten tietoliikenneasioita. Yritys, joka ostaa halvimmat yhteydet tai ulkoistaa it-palvelunsa maailmalle, saattaa joutua ongelmiin huoltovarmuuden ja ikävien yllätysten kanssa.

Merikaapeli voi katketa, liikenne saattaa kulkea usean verkkoa salakuuntelevan maan läpi. Ensi näkemältä halvin ei ole aina lopulta edullisin.

Lue myös
Verkkohyökkäys voisi lamauttaa Suomen (Suomenkuvalehti.fi 9.7.2009)

Keskustelu

Helppoa sähköpostisalausta:

Googlen Gmail – sähköposti kryptaus käyttöön. Käsittääkseni kryptaa liikenteen tietokoneelta Gmail serveriin asti

Gmail kryptaus
HTTPS, or Hypertext Transfer Protocol Secure, is a secure protocol that provides authenticated and encrypted communication.
To enable this feature in Gmail:
1. Sign in to Gmail.
2. Click Settings at the top of any Gmail page.
3. Set ’Browser Connection’ to ’Always use https.’
4. Click Save Changes.
5. Reload Gmail.

yep yep, se on nyt hyvä hakea kuitenki niitä tarpeellisia ohjeita vaikka päivittäin netistä :)

Ja muista aina sähköpostin lopussa spekuloida Ruotsin valtaamisella.

”Viestintäviraston tietoturvajohtaja Erka Koivunen ei usko yksityisihmisten tietoturvan vaarantuvan. ”

Kenen sitten, jos ei yksityisen ihmisen?

”Jos ruotsalaiset torjuvat terrorismia, kuten on luvattu, se ei välittömästi vaaranna suomalaisten kansalaisen tietoturvaa, sanoo Erka Koivunen, joka on Viestintäviraston tietoturvayksikön päällikkö.”

Kerättävän datan määrä jo kertoo, että suunnitelmissa on käytännössä koko liikenteen seuranta, satojetuhansien avainsanojen haravaointi tietovirrasta, ja todellakin loukkaus yksityisyyttä kohtaan. Tuota seurantaa hoidetaan maailman tehokkaimmalla tietokoneella.

Tiedustelu dataa on myös lupa kaupata ulkomaisille tiedustelu-ja turvallisuuspalveluille.

Ruotsilla on ollut monella tasolla varsin läheinen yhteisityö läntisten ”tiedustelujen” ja ”turvien” kanssa, niin läheinen, että sitä jopa käytettiin ”julkisesti” jonkunlaisessa pelotustarkoituksessa. Tämä osa saatettiin tehdä esim. brittien MI5:n, Ruotsin oman ja Suomen Supon kanssa, mikä oli omiaan sotkemaan asioita. Yksikään niistä ei ollut kovin tehokas ”vakoojien” kiinniottaja. Ruotsissa se johti töppöilyjen delegointiin ”yksityisille” turvoille, jotka vastustivat innokkaasti ”terrorismia” jo 1980-luvulla. Maksun on täytynyt olla hyvä. Muutama motiivi ampua Palme tuotettiin.

Mutta käytännössä, laajemmissa ympyröissä, se tartkoitti, ehkä tarkoittaa yhä, että Ruotsin kautta kulkevaa liikennettä valvotaan suoraan tai brittien kautta USA:n Englannissa toimivien kuuntelukeskusten laskuun. Näistä asioista ollaan omituisen hiljaa. Yksi syy lienee, etteivät ne ainakaan Ruotsissa tai Tanskassa pysäyttäneet edes alkeellisin perustein toimivaa tanskalaista terroriryhmää. Kyllä nästä jutuista olisi hyvä saada joku selvä ainakin EU:n tasolla.

”Teollisuusvakoojalle,” ## mitä muuten olin itse Ruotsissa 1980-luvulla, kun verukkeita silmällä pidolle etsittiin. Nuo satelliitti- ja sitä ennen radio- ja kaapelikuuntelut, ovat aina tuottaneet mysterioita Suomessa. Viimeinen lienee Rautatieaseman vesitunneleiden oudot poraukset. Vastaava saatoi jopa olla todellinen motiivi Saloran oikeusjuttuun ja takavarikkoon 1970-luvulla. Ja niissä näyttivät aina ryömivän toverit sekä Kremlistä että Tukholmasta. Suomessa virkamiehet olivat vain tämän pelin nukkeja.

Mutta omakohtainen kokemus oli systeemistä, missä alkuun omituisesti irvistävä herra istui vastakkaiselle penkille Lontoon subway´ssä vuonna 1973. Hän oli kopio MI5:n hra Hollisista, suoraan lainattu asianomaisen ”julkistetusta kuvasta.” Häntä seurasi vastaavasti irvistävä Supon Arvo Pentti Ratakadulla. Sen jälkeen 1980-luvulla samaa jatkettiin Ruotsissa, missä ”irvikuva” ja vieressä istunut nätti tyttö kerrattiin. ”Psykologia” oli, että juipit ”tiesivät jotakin,” minkä vuoksi ”nätin tytön” olkapää, mitä lie muuta oli tarjolla lohtuna, myöhemmin myös Tanskassa.

Kyllähän tämä – tai nämä jutut – osoittavat uskomatonta harkittua halua typeriin kiusaamisiin, ja Supo ja britit ja Säpo – ja kuka lie – pelasivat kaikki mukana. En tunne yhtäkään aihettä yhdellekään. Juttu on nyt jatkunut 36 vuotta. Jotakin mätää oli ja on yhä näissä asioissa – ei ainoastaan Tanskassa. Suomessa koko juttu oli selvä sekä petos että maanpetos.

Mun viestit saa lukea, jos niistä joku on kiinnostunut. Epäilen.

Jaa että mitäkö pitää tehdä? Jokaisen kannattaa heti ensi töikseen liittää kaikkien sähköpostiviestiensä alalaitaan tällainen tiedote:

Hej FRA!
Det finns ingen anledning att läsa mitt mail. Jag har ingenting att göra med ETA, Devrimci Sol eller al-Jihad. Jag har aldrig gjort Shahada eller tillverkat en sprängladdning, jag vet knappt ens vad fatwah betyder. Men tack för visat intresse!

Ideana on se, että aiheutetaan Ruotsin tiedusteluviranomaisille valtava määrä vääriä hälytyksiä hakurobottien tunnistaessa viestistä tuollaisia ”vaarallisia” sanoja, minkä johdosta viesti ohjautuu jonkun virkailijan tarkastettavaksi.

Kiusa se on pienikin kiusa!

Asioita seuranneelle kiitos vihjeestä. No juu, jos viitsis vaivautua, niin vois tehdäkin kiusaa. Sen verran ärsyttävää on ajatella tätä asiaa. Ja noillako sanoilla ne luulevat saavansa terroristit kiinni, eihän ne varsinaiset tekijät taida ihan niin tyhmiä olla. Ups, taisi tulla hakusana taas. :-)