Miten urkinta on tehty? – 10 kysymystä USA:n urkintakohusta

Ulkomaat 14.8.2013 07:00
Kuvitus Outi Kainiemi.

1. Miten urkinta on tehty?

Ei ole uutta, että Yhdysvallat seuraa laajamittaisesti muiden maiden kansalaisten netinkäyttöä. Sen sijaan uusi tieto olisi, miten se käytännössä tapahtuu. Keräävätkö Yhdysvaltain turvallisuusvirasto NSA:n tiedustelijat salattua tietoa suoraan nettiliikenteestä, vai saavatko he suoraan yhdysvaltalaisilta palveluntarjoajilta tietoa, jonka salaukset on jo purettu? Tähän urkintakohusta ei ole toistaiseksi löytynyt vastausta.

NSA:lla on kerrottu olevan käytössään tietojen kaivamista avittava Prism-ohjelma, mutta tarkkaa tietoa sen toimintaperiaatteista ei ole. Valtaosa esimerkiksi Googlen tai Microsoftin sähköposteista ja Facebookin kautta kulkevasta tietoliikenteestä liikkuu SSL-salattuna. NSA:n vakoiluohjelma Prismin toimintaa avanneissa, julkisuuteen tulleissa NSA:n koulutusmateriaaleissa puhutaan suorasta pääsystä palveluntarjoajan palvelimelle.

Kaikki palveluntarjoajat, kuten esimerkiksi Google, Microsoft ja Facebook, ovat tosin toistaiseksi kiistäneet tarjonneensa NSA:lle suoraa pääsyä palvelimilleen. Olisiko NSA soluttanut yrityksiin myyriä?

2. Voiko SSL-salauksen purkaa?

Jos NSA noukkii salattua tietoa suoraan nettiliikenteestä, niin salaus pitäisi saada vielä purettua. 1990-luvulla kehitettyä SSL-salausta on tähän saakka pidetty murtovarmana. Parin viime vuoden aikana tietokoneet ovat alkaneet kytkeä salauksen automaattisesti päälle, kun käyttäjä esimerkiksi tekee haun Googlen kautta tai lähettää sähköpostia. SSL-salauksessa web-palvelin ja käyttäjän päässä oleva selain sopivat keskenään salausavaimesta.

Useimmiten käytössä on 1024-bittinen salaus, joka luo niin pitkiä lukujonoja sisältäviä salausavaimia, että niiden purkamista on käytännössä pidetty mahdottomana. Jos NSA:ssa on keksitty matemaattinen kaava salausavainten murtamiseen, se rikkoisi 90 prosenttia maailmassa käytetyistä salausmenetelmistä.

Vielä 1990-luvulla Yhdysvalloissa oli voimassa rajoitus, jonka mukaan Yhdysvalloista sai viedä ulos vain siten salattua nettiliikennettä, että salauksen sai purettua. 2000-luvun alussa tämäkin muuttui.

3. Mikä on yhdysvaltalaisten yritysten rooli?

Urkinnan paljastanut Edward Snowden on kertonut yhdysvaltalaisyhtiöiden tekevän yhteistyötä NSA:n kanssa, mutta yritykset itse ovat kiistäneet tämän. Toisaalta, kannattaako yrityksiin luottaa? Esimerkiksi netissä videopuheluita välittävä Skype oli alkujaan hyvin turvallinen ja lähes mahdoton seurata.

Kun Skype siirtyi Microsoftin omistukseen, lisäsi uusi omistaja Skypeen järjestelmiä, jotka tekivät puheluiden seuraamisen ja salakuuntelemisen helpommaksi. Microsoft siis tahallaan teki turvallisen palvelun turvattomammaksi. Suurin osa käyttäjistä ei maksa Skypestä, joten heillä ei ole varaa myöskään esittää vaatimuksia ilmaispalvelun laadusta. Sama pätee myös muihin netin ilmaispalveluihin.

4. Jos yritykset ovat tehneet yhteistyötä NSA:n kanssa, miksei niitä kohtaan ole ryhdytty juridisiin toimiin?

Koska yhdysvaltalainen ja eurooppalainen tietoturvalainsäädäntö ovat ristiriidassa, joutuvat Euroopassa toimivat yhdysvaltalaiset yritykset käytännössä valitsemaan kumpaa ne rikkovat. Esimerkiksi Suomessa tietojen luovutus todennäköisesti rikkoisi henkilörekisterilakia.

Vaikka esimerkiksi Googlen pääkonttori on Yhdysvalloissa, on yrityksellä merkittävää toimintaa myös Suomessa. Periaatteessa Suomen viranomaiset voisivat vaatia Haminassa sijaitsevasta Googlen palvelinkeskuksesta selvitystä siitä, mitä henkilötietoja sieltä vuotaa Yhdysvaltoihin.

Käytännössä missään EU-maassa ei ole ryhdytty toimiin yritysten kovistelemiseksi. Toisaalta EU-tasolta pyritään antamaan yhteinen vastaus urkintakohuun. Selvitystä tietojenkeruun laajuudesta on NSA:lta jo pyydetty. Toisaalta suuryrityksiä ei haluta ärsyttää, jotta ne jatkossakin investoisivat esimerkiksi Suomeen.

5. Kuka vuotojen takana oleva Edward Snowden on ja mitkä ovat hänen motiivinsa?

NSA:n urkintakohun uutisointi on henkilöitynyt vahvasti 30-vuotiaaseen yhdysvaltalaiseen Edward Snowdeniin, joka on sanonut olevansa vuodon takana. Media on seurannut tiiviisti Snowdenin pakoilua Hongkongissa ja sittemmin moskovalaisella lentokentällä, jolta hän poistui elokuun alussa saatuaan tilapäisen turvapaikan Venäjältä.

Miksi kaikki tuntuu niin hätäisesti suunnitellulta? Ja onko yhteensattumaa, että Snowden teki paljastuksensa samalla viikolla kun Kiinan presidentti Xi Jinping ja Yhdysvaltain presidentti Barack Obama tapasivat ensimmäistä kertaa? Korkean tason tapaamisen aiheena olivat verkkovakoilu ja kyberhyökkäykset. Snowden oli tuolloin Hongkongissa ja antoi haastatteluja hongkongilaiselle South China Morning Post -lehdelle.

Elokuvaohjaaja Laura Poitras on kertonut Snowdenin ottaneen häneen yhteyttä jo tammikuussa. Snowden kuitenkin haki NSA:n alihankkija Booz Allen Hamiltonille töihin vasta maaliskuussa.

6. Tekikö Snowden oikein vuotaessaan NSA:n asiakirjoja?

Snowden on epäilemättä rikkonut lakia ja salassapitovelvollisuuksiaan vuotaessaan tietoja. Toisaalta monet ovat kiitelleet häntä moraalisesti kyseenalaisen urkinnan paljastamisesta. Joka tapauksessa vuodot ovat virittäneet keskustelua siitä, onko yhteiskunnalla lupa urkkia ja tallettaa yksityisten ihmisten tietoja ja viestejä. Aiemmin tällaiset keskustelunavaukset on helposti kuitattu foliohattujen salaliittoteorioiksi.

7. Missä määrin EU-maat ovat tehneet yhteistyötä NSA:n kanssa?

Ei urkinta ole EU-maillekaan tullut täytenä yllätyksenä. Todennäköisesti NSA:n kanssa on tehty jonkintasoista yhteistyötä ja pyritty hyötymään tietojenkeruusta myös itse. Sitä, kuinka laajaa yhteistyö on ollut, ei tiedetä. Brittilehti The Guardianin mukaan ainakin Britannian tiedustelukeskus GCHQ:lla on ollut pääsy NSA:n Prism-urkintaohjelmaan jo vuodesta 2010 ja yhteistyö on muutenkin ollut läheistä. GCHQ on myös saanut Yhdysvalloilta ainakin 100 miljoonaa puntaa.

Tunnetun PrivacySurgeon-blogin mukaan ainakin Tanska, Hollanti, Ranska, Saksa ja Italia olisivat tehneet Yhdysvaltojen kanssa sopimuksia internet- ja mobiilitietojen luovuttamisesta. EU:lla on ollut myös muunlaista yhteistyötä Yhdysvaltojen tiedustelun kanssa. EU:lla on ollut jo vuosia tietojenluovutussopimukset Yhdysvaltojen kanssa pankkitietojen ja lentotietojen osalta. Esimerkiksi kaikkien suomalaisten pankkisiirtotiedot ovat olleet yhdysvaltalaisten saatavilla ilman urkintaakin.

8. Miten Yhdysvallat on päässyt käsiksi esimerkiksi Saksan ja Kiinan sisäiseen puhelinliikenteeseen, kuten on kerrottu?

NSA:n on kerrottu kuunnelleen myös joidenkin maiden, kuten Saksan ja Kiinan sisäistä puhelinliikennettä. Puhelut kulkevat runkoverkossa salaamatta, mutta muiden maiden runkoverkkoa kuunnellakseen NSA:n olisi pitänyt joko tehdä yhteistyötä kyseisen maan tiedustelun kanssa tai ujuttaa vakoiluohjelmia puhelinkeskuksiin.

Nykyään lähes kaikissa puhelinjärjestelmissä on sisäänrakennettuna toiminnot, jotka mahdollistavat tavanomaisen poliisien tekemän puhelinseurannan. Suurin osa näistä laitteista tulee Yhdysvalloista. On mahdollista, että NSA:lla on keinot päästä näihin seurantajärjestelmiin käsiksi myös ilman toisen maan tiedustelun tai puhelinoperaattorin suostumusta.

9. Miten urkinnalta voi suojautua?

Sähköistä urkintaa on nykymaailmassa hyvin vaikeaa, ellei mahdotonta päästä karkuun. Asiantuntijoiden mukaan yhdysvaltalaisia nettipalveluita seurataan jollain tasolla joka tapauksessa. Yhdysvaltain lainsäädäntö takaa tiedustelulle pääsyn ulkomaalaisten ihmisten tietoihin, kun he käyttävät yhdysvaltalaisia nettipalveluita.

Suurin osa käyttää, sillä varteenotettavia muunmaalaisia vaihtoehtoja esimerkiksi Googlen hakukoneelle tai yleisimmille sähköpostiohjelmille on todella vähän. Yhdenkään toisen maan tiedusteluorganisaatiolla ei ole niin laajaa pääsyä muiden maiden kansalaisten nettiliikenteeseen.

Niin sanotuissa netin pilvipalveluissa mikään ei ole turvassa, sillä Yhdysvaltain laki takaa tiedustelulle pääsyn kaikkiin yhdysvaltalaisiin pilvipalveluihin. Suomessa viranomaisilla on pääsy suomalaisiin pilvipalveluihin. Mobiilipalveluista taas ei voi aina varmuudella tietää, kulkevatko ne salatun yhteyden kautta vai eivät.

10. Mitä seuraavaksi?

Yhdysvaltain edustajainhuone hylkäsi heinäkuun lopulla esityksen, jolla vakoiluohjelmaa olisi rajoitettu. Läpi mennessään esitys olisi rajoittanut NSA:n lupaa seurata tietoliikennettä. Esityksen käsittelyä edelsi kiivas väittely.

Kyselyissä yli puolet yhdysvaltalaisista on ollut sitä mieltä, että hallituksen toimet netti- ja puhelinliikenteen tietojen keräämiseksi rikkovat kansalaisten yksityisyyttä. Samaten noin puolet yhdysvaltalaisista on sanonut pitävänsä sitä välttämättömänä keinona jahdata terroristeja. Edward Snowden on vuotanut salaisiksi luokiteltuja asiakirjoja muun muassa brittilehti The Guardianille ja yhdysvaltalaiselle The Washington Postille, jotka kirjoittanevat aiheesta jatkossakin.

Juttuun on haastateltu F-Securen tutkimusjohtaja Mikko Hyppöstä, tietokirjailija Petteri Järvistä ja teknologiaoikeuden tutkija Ville Oksasta.

Juttu on julkaistu ensimmäistä kertaa Suomen Kuvalehden numerossa 32/13.