sunnuntai 9. kesäkuuta 2013

Google, Apple, MS, USA ja minä

Nyt se sitten tapahtui.


Olen koko ajan ollut tietoinen siitä, että tällainen mahdollisuus on olemassa. Saattaa olla, että USA:n viranomaiset ja siellä toimivat yritykset tekevät salaista yhteistyöltä, johon asiakkaalta ei kysytä lupaa ja joka on ainakin Suomen lakien vastaista.

Olen (olin) päättänyt luottaa siihen, että Safe Harbor -sopimus antaa suojaa ja toisaalta, että minun nettijulkisuudessani ei ole mitään sellaista, jota minun pitäisi vielä erityisesti salata, varoa tai suojella.

Nyt kaikki muuttui. Lue vaikkapa tämä juttu Hesarista ja sen jäljeen linkeistä lisää niin paljon  kuin jaksat.

Mitä tämä minulle tarkoittaa?

Google pyörittää 

  • Androidia (minulla 2 laitetta, omilla lapsilla 3, vaimolla 1, oppilailla about 400) - android kuten kaikki mobiilijärjerstelm't tallentelee taustalla ylläpitäjän palvelimelle vaikka mitä, esim. yhteystiedot... smaa tekevät lähes kaikki app'it myös, vaikka ne sentään ilmoittavat, että "nyt tämän päivityksen jälkeen luemme yhteystietosi..."
  • Google-hakua, jota käyttävät "kaikki"
  • Googlen Mail, Drive, Google+, joita kaikkia käytän
  • Google Apps For Education, jota palvelua tarjoan ylläpitäjänä 70 työntekijälle, 550 oppilaalle ja yli 200 opiskelijalle - tässä vastuu on kova.

Apple

  • minulle henk.koht. ainoa merkittävä on iOS, joka pyörii kännykässäni
  • kouluun on tulossa 30 iPad Miniä
  • samat ongelmat kuin yllä Androidilla

Microsoft

  • tässäkin koneessa Win8, joka pilvisidonnaisena varmaan lähettää dataa jenkkeihin kuten mobiililaitteetkin. En edes tiedä.
  • työkoneissa WinXP tai Win7, jotka eivät kai kauheasti lähettele?
  • pojalla WindowsPhone, joka on ihan samassa kastissa kuin Android ja iOS 

Mitä nyt?

  • Henkilökohtaisesti
    • Alkoi kiinnostaa Jolla Sailfish, UbuntuPhone, Linux, Firefox Phone - mikä tahansa, joka on poissa USAn tai minkä tahansa valtion luvattomalta urkinnalta
    • Pitää selvittää asiaa
      • edit klo 12:13: Jollan Facebook-sivuilla kysyin ja vastaus oli että puhelimen myyntiin tuloon mennessä kertovat - no en siis innostu
    • NYT
      • jatkan nylkyisten palvelujen käyttöä, mutta olen paljon tietoisempi ja mietin  enemmän
      • etsin avoimia korvaavia sovelluksia ja palveluita
      • etsin  a) suomalaisia palveluja b) EU-alueen palveluja
        • niin lähdekoodin kuin palvelimen sijainnin osalta
  • Toissä kouluttajana
    • Tästä tulee yksi tärkeä kohta: jatkan sosiaalisen media ja verkko-oppimisen ilosanoman levittämistä, mutta lisään paljon enemmän 
      • suomalaisten palvelujen mainostamista
      • tietoisuuden ja osaamisen lisäämistä
    • vähennän USAlaisten palvelujen markkinoimista ja ainakin kerron avoimesti niihin liittyvistä ongelmista
  • Töissä rehtorina
    • Joudun ennen kaikkea miettimään ja selvittämään Google Apps for Education -palvcelujnn turvallisuuden
    • pitää miettiä suomalaisia korvaavia palveluita
    • pitää nostaa oman porukan osaamistasoa tässä asiassa, niin oppilaiden, opiskelijoiden kuin opetushenkilöstön.

Kysymykset

  • Jolla? Onko se tuon ongelman ulkopuolella? Edit: näyttäisi, että ei...
  • Linux? Mikä jakelu on turvallinen?

Juuri nyt:

Vaihdan tämän oman koneeni käyttöjärjestelmäksi Linuxin, kunhan saan selvitettyä minkä distron otan. Tuskaa tuottaa uuden suhteen luominen Googlen palveluihin....

5 kommenttia:

  1. Hyvää pohdintaa IT-porukan ulkopuolelta. Valitettavasti olet hieman väärillä jäljillä, tai sanotaanko keskityt yksittäiseen puuhun metsässä. Hahmotetaanpa siis vähän kokonaisuutta.

    Mainitset Googlen, Facebookin ja MS:n palvelut. Nämä yritykset ovat yhdysvaltalaisia, mutta sinun käyttämäsi heidän palvelimet sijaitsevät pääosin euroopassa.

    Mainitset Jollan, jolla on hyvin läheiset suhteet kiinalaisiin (jotka tunnetusti harrastavat huomattavasti ihan rehellistä teollisuusvakoilua).

    Mainitset Linuxin, Ubuntun ja Firefox Phonen. Näiden kolmen softan kehityksestä merkittävä, ellei merkittävin osa tulee yhdysvalloista. Kehityksestä vastaa pääosin suuret firmat kuten Intel, IBM ja Google. Avoin lähdekoodi tietysti tuo turvaa, sillä mahdolliset backdoorit ovat kaikkien löydettävissä.

    Suomalaisista firmoista mm. Nokia on kunnostautunut vastaavissa skoopeissa. Voit tutustua esim (löytyy enemmänkin):

    http://www.mobileworldlive.com/nokia-allows-email-monitoring-in-india
    http://www.zdnet.com/nokia-hijacks-mobile-browser-traffic-decrypts-https-data-7000009655/
    http://fi.wikipedia.org/wiki/Lex_Nokia

    Muutkin isommat suomalaiset ja eurooppalaiset firmat toimivat luonnollisesti myös USA:ssa (mm. F-secure). Mikäli NSA:lla tosiaan on tekniikkaa indeksoida näin suuria määriä tietoja järkevässä ajassa on myös huomioitava muut tietoturvauhat, kuten käytettyjen suojausalgoritmien teho. Toisaalta myös Suomessa lähes kaikki verkkoliikenne kulkee yhdysvaltalaisten ja kiinalaisten verkkolaitteiden kautta.


    Mitä siis pitäisi tehdä? Ei kannata keskittyä yrityksiin saati palvelimien sijaintiin. Tietoverkko ja maailma on globaali. Ei ole olemassa suomalaisia palvelimia, suomalaisilla verkkolaitteilla jotka toimisivat vain Suomessa ja varmasti noudattaisivat Suomen lakia.

    Aina kun annat tietoa yritykselle (oli se kulman takana toimiva Penan Tietokone Oy tai Google), on olemassa riskejä, että tietoa käytetään sinun tietämättä. Ota tämä lähtökohdaksi, mutta hellää foliohattua sen verran, että arvioit mikä tieto on arvokasta ja miten sitä voitaisiin väärinkäyttää omistajaa vastaan. Luultavasti et kovinkaan montaa realistista uhkaskenaariota keksi koulumaailmasta.

    Itse jonkun verran näitä asioita nähneenä pidän suurempana huolenaiheena perinteisiä malleja joissa data liikkuu epäpätevän ylläpidon kautta. Tietoturvauhat ovat paljon suuremmat kuin isojen toimijoiden järjestelmissä, ja paikalliset toimijat ovat paljon kiinnostuneempia yksityisestä tiedosta (millä esim NSA ei tee mitään, mutta mitä et haluaisi naapurin lukevan).

    VastaaPoista
  2. Kiitos kommenteista, tuot näkökulmaa asiaan. Eihän tämä mikään uusi asia minullekaan ole, esim. kuvaamiesi Nokia-tapausten kautta. Se oli minulle uusi tieto, että Linuxin, Ubuntun ja Firefox Phonen kehittämisen takana ovat Intel, IBM ja Google?

    Olen kyllä edelleen huolissani USA:n viranomaisten ja ao. kaupallisten toimijoiden suhteesta ja nimenomaan koulussa, jossa oppilaat käyttävät palveluita esim. omilla mobiileillaan. Minusta on todella merkittävä asia, jos oppilas käyttää koulun tarjoamaa GoogleAppsForEducation palvelua ja samalla oppilaan yhteystietolista imetään jenkkipalvelimelle. Ei siinä mitään, mutta tod.näk. lähes kaikilla on joko kavereina tai kaverin kavereina jenkkiläisittäin ajatellen "turvallisuusuhkia". Kyllä siinä alkaa foliohattu hehkua, kun ajattelee mitä tuollaisten tietojen yhdistelyllä voi pahaa tarkoittaen tehdä.

    Ja ennen kaikkea. Safe Harbor on sopimus. Jos hallitukset eivät noudata sopmuksia, mitä jää?
    Minusta huoli ei ole vakoilu tai urkkiminen. Huoli on se, jos jonkun maan hallitus ja yritykset tekevät sitä yhteistyössä ja kertomatta siitä.

    Joku kehityskulku on nyt tullut raadollisuudessaan näkyviin, ei ehkä uutena mutta paljaana.

    VastaaPoista
  3. Täytyy vielä sen verta lisätä, että Androidin osilta kerroit myös hieman virheellistä tietoa. Mikään pakko ei ole (oikeita) tietoja Googlelle jakaa. Nuo synkkaoptiot Google accounttiin ovat optionaalisia. Nuo applikaatioiden ilmoitukset taas puhuvat siitä, että applikaatio (eli se paikallinen softa siinä Androidlaitteessa) käyttää näitä tietoja. Niiden välitys ulkopuolelle on taas oma asiansa, eikä liity tuohon ilmoitukseen (joskin mahdollistaa sen).

    Windows XP, että Windows 7 soittelevat kotiin. Ne mm. hoitavat lisenssoinnin, kyselevät päivitykset, hakevat apua ilmenneisiin ongelmiin. Nämä toiminnot lähettävät tietoa laitteestasi, että mm. esimerkiksi kaatuneesta softasta.

    Linuxin puolellakin toki nämä osataan: https://www.eff.org/deeplinks/2012/10/privacy-ubuntu-1210-amazon-ads-and-data-leaks

    VastaaPoista
    Vastaukset
    1. Ok, kitos täsmennyksestä.
      "Hieman" kyllä pilvipalveluun perustuvan laitteen idea kärsii, jos karsii siitä pois ne pilviominaisuudet. Sovellusten osalta olet myös oikeassa. Monen sovelluksen pihvi on vain juuri siinä, että ne synkkaavat toimintansa eri sovellusten ja laitteiden välillä - pilvessä.
      Siksi, olen varmaan väärässä, mutta niin sen koen.

      Poista
  4. Täältä voi vilkuilla hieman tilastotietoa Linux kernelin kehityksen taustalla olevista tahoista: http://go.linuxfoundation.org/who-writes-linux-2012

    Hmm, millaisia ovat nämä turvallisuusuhkakaverit?

    VastaaPoista