keskiviikko 23. heinäkuuta 2014

Muut maat vaativat palveluyhtiöiltä tietoja USA:n nimissä

Yhdysvalloissa ja sen kumppanimaissa on voimassa oikeusapusopimus tai MLAT jonka ansiosta maat voivat naamioida omien viranomaisten tietopyynnöt Yhdysvaltojen oikeusministeriön pyynnöiksi.

Google ja monet muut yritykset raportoivat julkisesti vuosittain kuinka monta kertaa tietty maa pyytää yhtiöltä käyttäjiensä tietoja, luvut eivät kuitenkaan pidä sellaisenaan paikkaansa sillä yhtiöt eivät voi tietää kuinka moni USA:n nimiin menevä pyyntö tulee yhteistyösopimuksen kautta joltakin muulta maalta.

Sopimus nimittäin kattaa mahdollisuuden pitämään pyynnöt salaisina, niin salaisina ettei yritys voi tietää varmaksi mihin ja missä haluttuja tietoja tullaan käyttämään.

Yhdysvalloilla sama oikeus:

Sopimus on sama myös toisinpäin, nimittäin MLAT yhteistyössä olevat maat toimittavat samankaltaisin menetelmin myös Yhdysvaltoihin tietoja omista yhtiöistään, mikäli Yhdysvallat niitä pyytää.

Yhdysvaltalaisten yrityksien ei periaatteessa tarvitse vastata muihin kuin Yhdysvaltain oikeusministeriöltä tuleviin pyyntöihin sillä se on maassa laki.

Kun palveluyhtiöt saavat pyynnön muualta kuin Yhdysvalloista heillä on sanavaltaa asiassa melko paljon ja joskus pyyntöihin ei suostuta sellaisenaan.

MLAT kuitenkin auttaa näissä tapauksissa monia maita jotka tarvitsevat kipeästi tietoja palveluiden käyttäjistä rikosasian tutkinnassa, sillä mikäli he kuuluvat MLAT yhteistyösopimuksen piiriin (kuten koko E.U.) voivat he pyytää oikeusapua Yhdysvaltojen oikeusministeriöltä, tällöin ministeriö lähettää omissa nimissään tietojen luovutuspyynnön kyseisille yhtiöille ja heidän on pakko vastata myöntävästi, tämän jälkeen oikeusministeriö lähettää tiedot eteenpäin pyynnön suorittaneelle taholle.

Yhdysvallat voi sopimuksen myötä tehdä omia pyyntöjä myös muilta mailta ja tietoja luovutetaan jos pyynnön vastaanottaja maan omat lait hyväksyvät tietojen luovutuksen ja hankkimisen oikeusteitse yrityksiltään. Esimerkiksi Suomi on yksi niistä maista jotka ovat lain suhteen täysin MLAT-yhteensopivia.

Oikeusapupyyntöjä palveluiden käyttäjätiedoista tulee vain muutama:

MLAT-pyyntöjä ei kuitenkaan Yhdysvaltojen oikeusministeriön mukaan tule juurikaan mutta kun niitä tulee, niistä ei pidetä minkäänlaista kirjaa joka on vähintäänkin outoa, syyksi oikeusministeriö kertoi ettei sitä ole katsottu tarpeelliseksi. Tietoja myöskään siitä kuinka monta kertaa he ovat lähettäneet MLAT-pyyntöjä ei ole rekisteröity.

Suomessa taas ei ole julkisesti esillä Suomalaisiin palveluihin kohdistuneita oikeusapupyyntöjä mutta vuoden 2013 lakialoitteessa jonka tarkoitus oli tehdä Suomesta entistä MLAT-ystävällisempi mainitaan että pyyntöjä tulee vähän.

Eli nykyisin kun yritykset julkaisevat nuuskintapyyntöjen määrän, on yhteenlaskettu määrä todenperäisempi kuin maakohtainen luku, tosin Yhdysvallat rajoittaa lailla raportoimasta kansalliseen turvallisuuteen liittyviä pyyntöjään joten numerot ovat enimmillään muutenkin vain suuntaa antavia.

Raportit evät kuitenkaan ole yksistään jutun pointti vaan se että monella maalla on enemmän oikeuksia kuin voisi kuvitella, myöskin Yhdysvalloissa toimiviin yrityksiin ja se että kaikkeen ei NSA:n urkintaa tarvita kun Yhdysvallat voi vain pyytää tietoja ja usein se tulee myös ne saamaan, laillisesti.

LÄHDE: Motherboard, Finlex, U.S. Department of State

tiistai 22. heinäkuuta 2014

iOS-laitteissa nuuskimisen sallivia salaisia toimintoja

Uusi raportti kertoo karua kieltä Applen kehittämästä iOS-käyttöjärjestelmästä. Käyttöjärjestelmään on upotettu huomattava määrä erilaisia järjestelmäpalveluita (service) jotka mahdollistavat käyttäjän seurannan ja puhelimen tietojen hankkimisen.

Löydettyjä toimintoja ei ole dokumentoitu mihinkään viralliseen Applen julkaisemaan ohjeeseen tai muuhun käyttöjärjestelmää ja sitä käyttävien laitteiden opuksiin.

Löytöjen takana on hakkeri nimeltä Jonathan ZdziarskiNerveGas” joka on ollut mukana muun muassa kehittämässä jailbreak menetelmiä iOS-käyttöjärjestelmään, hän on myös kirjoittanut muutamia kirjoja kyseisen käyttöjärjestelmän tietoturvasta jotka on julkaissut O’Reilly.

Hänen raportistaan käy ilmi että Apple on lisännyt käyttöjärjestelmäänsä tahallisesti erilaisia takaovia, eli niin sanottuja backdooreja joiden kautta laitteisiin ja niiden sisältöön pääsee melko helposti kiinni.

Apple tarjoaa kyllä laitteiden sisällön suojaamista mutta takaovien kautta onkin mahdollista päästä sisältöön käsiksi siten että suojaus puretaan nimenomaisesti sitä varten käyttäjän siitä tietämättä.

file_relay avaa salatun varmuuskopion:

iOS -käyttöjärjestelmässä on järjestelmäpalvelu nimeltä file_relay joka mahdollistaa varmuuskopioinnin salauksen purun etänä toimivan isäntäsovelluksen kautta, ilman että se kysyisi avaukseen tarvittavaa salasanaa tai tunnuslausetta (passpharse).

file_relay palvelun kautta pääsee siten käsiksi järjestelmän yhteystietokantaan (SQLlite), kuvakirjastoon, ääniviesteihin sekä muihin äänitiedostoihin, myöskin poistetut yhteystiedot on mahdollista palauttaa näkyville koska tietokanta saadaan ulos sellaisenaan SQL-tietokantana.

file_relayta käyttämällä pystyy myös näkemään laitteeseen tallennettujen pilvipalveluiden käyttäjätunnukset sekä myöskin käyttäjän välimuistin johon muun muassa tallentuvat ruutukaappaukset, jaetut kuvat ja videot, ohjelmien offline-tiedostot, näppäimistön näppäilyt, leikepöydän sisältö ja moni muu tieto.

Myöskin VPN-verkon tiedot ovat saatavilla file_relayn kautta kuten myös GPS -paikkatietohistoria . Alla kuva jossa mainitaan kaikki tiedot jotka file_relayn kautta on mahdollista saada käsiin:

service: com.apple.mobile.file_relay

pcapd - Seuraa reaaliaikaisesti verkkoliikennettä:

pcapd palvelu (packet sniffer) mahdollistaa laitteen verkkoliikenteen reaaliaikaisen seurannan, sillä voi esimerkiksi seurata selaimen http pyyntöjä, näin palveluun käsiksi pääsevä pystyy katsomaan millä verkkosivuilla laitteen käyttäjä käy, seuranta ei rajoitu pelkästään selaimiin vaan pcapd:n avulla seurataan koko laitteen verkkoliikennettä.

Kaikki palvelut ovat periaatteessa käytettävissä heti ja siten että laitteen omistaja ei saa minkäänlaista tietoa käynnissä olevasta nuuskinnasta, varsinkaan pcapd:n kohdalla sillä se on oletuksena päällä, osa palveluista täytyy kuitenkin käynnistää erillisellä komennolla mutta sekin onnistuu täysin käyttäjän tietämättä etänä, toki hyökkääjän tarvitsee tietää tarkasti mihin hyökätä.

house_arrest - Kuvia viimeksi käytetyistä ohjelmista ja ohjelmien asetuksia:

house_arrest on palvelu joka tallentaa järjestelmän käytöstä jopa ruutukaappauksia ilman käyttäjän tietoa, muun muassa Twitter sovelluksesta tallennetaan kuva joka kerta kun sovellusta käytetään. Twitteristä sekä Facebookista palvelu tallentaa laitteeseen käyttäjälle jaettuja kuvia sekä muita tietoja, varmaankin ohjelmien offline-käyttöä varten. On syy mikä tahansa niin tämän palvelun avulla on mahdollista näyttää tiedot myös niille joille se ei kuulu.

house_arrest tallentaa myös Twitterin yksityisviestit tietokantaan josta poistetut viestit on yhteystietokannan mukaisesti mahdollista palauttaa.

PIN-koodin käyttöönotto toistaiseksi paras keino suojautua osalta palveluista:

Osa palveluista “nollaantuu” kuitenkin käyttäjän ottaessa käyttöön pin-koodin puhelimen avausta varten, kun puhelimen käynnistää uudelleen, ei siihen pääse käsiksi ennen kuin käyttäjä on avannut puhelimensa pin-koodin avulla.

PIN-koodin käyttö ei kuitenkaan koske kaikkia palveluita, osa palveluista toimii parhaiten USB-yhteyden avulla joten esimerkiksi puhelinkorjaajalla saattaa teoriassa olla mahdollista päästä puhelimeen käsiksi mikäli omaa oikeanlaisen isäntäsovelluksen.

Raportissa hakkeri esittelee teorioita miksi Applen iOS-käyttöjärjestelmässä on kyseiset järjestelmäpalvelut käytössä, NerveGas ei kuitenkaan usko että niillä olisi mitään tekemistä kehitystyön, teknisen tuen tai oikeastaan minkään muunkaan avustavan asian kanssa.

Raportti kannattaa lukea kokonaisuudessaan, sillä siellä on paljon enemmänkin juttuja joita ei tässä uutisessa käsitelty.

RAPORTTI: Zdziarski blog (PDF)

LÄHDE: meta.ath0.com

maanantai 21. heinäkuuta 2014

Wall Street Journalin Facebook sivuilla kummallisia “uutisia”

Arvostetun Yhdysvaltalaisen talouslehden Wall Street Journalin Facebook sivu joutui eilen aamupäivällä hetkeksi aikaa väärin käsiin.

Facebook sivun kaapannut kerkesi pitää hauskaa noin 20 minuuttia  kunnes WSJ sai sivunsa takaisin ja ilmoitti että on poistanut kaappaajan tekemät päivitykset, samalla lehti ilmoitti tutkivansa tilannetta:

Kaappaaja julkaisi sivulla kaksi “uutista” jossa väitettiin että Yhdysvaltojen presidentin lentokoneeseen Air Force One:iin olisi menetetty keskusteluyhteys Venäjän ilmatilassa. Hetkeä myöhemmin kirjoitettiin toinen päivitys jonka mukaan Yhdysvaltojen varapresidentti Joe Biden tulisi pitämään pian lehdistötilaisuuden asiaan liittyen.

Twitteristä löytyy ruutukaappaus sivun oudoista päivityksistä, päivityksien kommenteista huomaa heti että uutiset eivät ole menneet ainakaan kaikille läpi tosina ja niille on jopa naurettu:

LÄHDE: YLE

Huhut: Nokia mukaan puettavan teknologian kentälle

Nokian huhutaan olevan kehittämässä Here -tuoteryhmän alle uusia kuluttajamarkkinoille tarkoitettuja laitteita jotka pohjautuvat nykyisin muodissa olevaan puettavaan teknologiaan.

Monet yritykset ovat viimeisten vuosien aikana julkaisseet puettavaan teknologiaan liittyviä laitteita kuten älykelloja ja uuden alan uskotaan olevan monen laitevalmistajan tulevaisuus ja varmasti myös kompastuskivi.

Nokia ei ole vielä virallisesti kertonut tarkasti mitä se meinaa markkinoille tuoda ja varsinkin tuleeko yhtiöstä enää tuotteita kuluttajamarkkinoille, huhut kuitenkin puoltavat kuluttajamarkkinoille tuloa.

Nokia olisi kyseisten huhujen mukaan tehnyt sisäisiä muutoksia työntekijöidensä suhteen juuri ennen Microsoft kauppaa siten että se olisi siirtänyt Nokiasta alan ammattilaisia Here toiminnan alle, mahdollistaen siten osaamisen jäävän taloon.

Nokian Here tuotteet ovat nykyisin kartta- ja navigointiteknologiaa ja Here on myös Nokian karttasovellus Lumioissa.

Nokia ei saa Microsoft kaupan myötä käyttää muutamaan vuoteen oman yrityksensä nimeä puettavan teknologian tai ylipäätänsä mobiilituotteissa, Here tuotenimeä Nokia kuitenkin saa käyttää.

Androidille tulossa jotakin:

Nokia olisi huhujen mukaan myös kehittämässä jotakin Androidin ympärille, Nokia julkaisi jo beta-version omasta “launcheristaan” Androidille mutta mahdollisesti kyse on tällä kertaa jostakin suuremmasta kuten valokuvaukseen liittyvästä, yhtiö nimittäin julkaisi avoinna olleen työpaikka hakemuksen jossa haetaan sovelluskehittäjää Linux tai Android käyttöjärjestelmälle.

LÄHDE: NPU

perjantai 18. heinäkuuta 2014

Hyvästi S40 ja Nokia Asha luurit

Nokia Asha 210 - Asha perhe ei enää laajene

Microsoftilla on päätetty potkujen vanavedessä luopua kokonaan Nokian taloon tuomista S40 käyttöjärjestelmään pohjautuvista edullisista puhelimista. X:stä lähtee Android.

Microsoftin Jo Harlow on kirjoittanut yhtiön sisäisen viestin jossa asia mainitaan.

S40 sekä Nokia Asha kehitystyö lakkautetaan ja nykyiset mallit siirretään niin sanottuun ylläpitotilaan ja toiminta ajetaan lopullisesti alas seuraavan 18 kuukauden aikana.

Voi olla että kyseisille laitteille ei enää löydy talosta osaamista Nokialaisten potkujen jälkeen.

Nokia X:

Nokia X -luuri tullaan käyttöjärjestelmän osalta korvaamaan Windows Phone käyttöjärjestelmällä ja se tulee olemaan yhtiön ainut ns. halpaluuri ainakin toistaiseksi.

Aikaisemmin Microsoftilta vakuutettiin että Nokia X tullaan säilyttämään tuotteena, tottahan se tavallaan olikin sillä yhtiö ei kommentoinut mitä se tulee laitteen käyttöjärjestelmä puolella jatkossa tekemään.

LÄHDE: Talouselämä

Bingistäkin voi nyt pyytää hakutuloksien poistamista

Google lanseerasi jokunen viikko sitten palvelun jonka avulla on mahdollista pyytää hakutuloksien poistamista EU-tuomioistuimen päätöksen nojalla. Nyt myös Microsoft on lisännyt hakupalvelu Bingiin vastaavan toiminnon.

Bing pyytää henkilökohtaiset tiedot tiedostona ja syyn poistamiselle jonka jälkeen se arvioi tarkasti jokaisen tuloksen poistopyynnön.

Microsoft ilmoittaa myös että pyyntölomakkeen täyttö tarkoittaisi suoralta kädeltä automaattista hakutuloksen poistamista vaan e arvioi tarkasti jokaisen tuloksen poistopyynnön yksityisyyden ja sananvapauden väliltä, joten voi olla että pyytämäsi hakutulos ei katoa palvelusta mihinkään.

torstai 17. heinäkuuta 2014

Microsoft: Suomessa 1 100 ex-Nokialaista saa potkut

Microsoft on julkaissut tiedotteen jonka mukaan se irtisanoo yhteensä 18 000 henkilöä josta 1 100 tulee saamaan potkut Suomesta.

Suomesta Microsoftille siirtyi 4 700 henkilöä joten jatkossa ex-Nokialaisia on Suomessa Microsoftilla töissä 3 600 henkilöä.

Suomalaiset potkut saaneet ovat Nokialta Microsoftille siirtyneitä työntekijöitä joista noin puolet työskentelevät nykyisin Microsoftin tuotekehitysyksikössä Oulussa. Oulun kehitysyksikkö tullaan ajamaan alas ja yhtiö keskittyy jatkossa Tampereen sekä Salon toimintoihin.

Microsoftille siirtyi yhteensä 25 000 Nokialaista matkapuhelinliiketoiminnan myynnin yhteydessä ja Microsoft on nyt potkimassa tästä joukosta 12 500 henkilöä, yhtiön sisäisten päällekkäisyyksien vuoksi.

Microsoftin uusi toimitusjohtaja Satya Nadellan sanottiin olevan Microsoftin Nokia ostoa vastaan mutta nykyistä potkuaaltoa Nadella puolustelee yhtiön uudelleen järjestämisellä ja päällekkäisyyksien poistamisella.

Nadella vakuuttaa tiedotteessaan että kaikkia ulos potkittuja tullaan auttamaan muutoksessa, tämä tarkoittanee että yhtiö yrittää auttaa työntekijöitä löytämään joko uuden työn tai koulutuspaikan.

LÄHDE: Microsoft

PÄIVITYS: 22:35: Korjattu otsikon kirjoitusvirhe sekä tarkennettu potkut saaneiden Suomalaisten määrää 1 000 > 1 100.

Amazon suunnittelee uutta kuukausimaksullista e-kirjapalvelua

“Syö niin paljon kuin jaksat” -palvelut ovat olleet arkipäivää musiikki- ja videopalveluissa monia vuosia mutta harvempi on ajatellut konseptia myös lukemiselle, Amazon on.

Yhdysvaltalainen verkkokauppa Amazon on kehittämässä mahdollisesti hyvinkin pian julkaistavaa Kindle Unlimited -palvelua jolla kiinteällä ja varsin edullisella 9,99 dollarin kuukausimaksulla pääsisi Kindlen e-kirjavalikoimaan käsiksi, mukaan luettuna myös äänikirjat.

Palvelussa tulee olemaan suunnitelmien mukaan yli 600 000 kirjaa joten lukemista ja kuulemista olisi riittämiin.

Se miten palvelu tulee Yhdysvaltojen ulkopuolelle on toki vielä kysymysmerkki, sillä palvelua ei ole lanseerattu edes Yhdysvalloissa vielä.

Uutispalvelu Gigaom tietää kertoa että Amazon olisi käynyt Yhdysvaltalaisten kustantamoiden juttusilla jossa he olisivat keskustelleet palvelun ehdoista ja sopimuksista. Tuolloin kuitenkaan kaikki kustantamot eivät olisi ainakaan vielä mukana Unlimited palvelussa vaikka heidän kirjojaan Amazonin muissa palveluissa olisikin saatavilla.

Amazonilla kokemusta kausimaksullisista palveluista:

Amazonilla on tälläkin hetkellä erilaisia kuukausimaksullisia tai kausimaksullisia palveluita kuten Prime joka sisältää ilmaista luettavaa joka kuukausi mutta 9,99 taalaa kuukaudessa kustantava “lue niin paljon kuin jaksat” olisi jotain uutta yhtiölle.

Kilpailu on kovaa:

Kuukausimaksullisia e-kirjapalveluita on toki myös muita mutta 600 000 kirjakokoelmalla sekä Amazon Kindle yhdistelmällä olisi varmasti kova isku kilpailijoille ja niiden huhutaan ottaneen jo yhteyksiä kilpailuviranomaisiin.

Palvelun uskotaantoimivan myös muilla kuin vain Amazonin omilla Kindle tai Fire laitteilla, Kindle lukuohjelma kun löytyy kaikille suurimmille alustoille.

Nähtäväksi jää tuleeko palvelun julkaisemisesta lopulta mitään mutta mielenkiintoinen kokeilu se on joka tapauksessa. Palvelun virallisen lanseerauksen odotetaan tapahtuvan parin seuraavan kuukauden aikana.

LÄHDE: Gigaom

Google antoi periksi ja hyväksyy nyt nimimerkit suoraan

Googlen Google+ palvelua käyttäneiltä on vaadittu oman nimensä näkymistä profiilissa mutta nyt yhtiö on muuttanut käytäntöjään palvelun suhteen, oman nimen voi korvata nimimerkillä.

Nyt on mahdollista luoda profiilille julkinen nimimerkki jolla käyttäjän nimi tullaan jatkossa näyttämään kun hän julkaisee palvelussa tai siihen liitetyissä muissa palveluissa jotain, kuten kommentteja.

Aikaisemminkin Google -profiiliin on voinut luoda nimimerkin tai lempinimensä mutta tuolloin Google halusi tunnistaa käyttäjän erilaisin tunnistusmenetelmin, nyt tästä vaatimuksesta on päästy eroon ja oman nimen käyttö ei enää ole pakollista missään vaiheessa.

Puolesta ja vastaan:

Googlen uusi nimikäytäntö jakaa käyttäjät kahteen leiriin, toiset ovat kiitollisia jo kauan vaaditusta ominaisuudesta ja toiset taas pelkäävät että nimimerkkien taakse piiloutuvat tiputtavat keskustelun laadun aikaisemmasta huomattavasti törkyisemmäksi.

Googleen on toki mahdollista luoda käyttäjätunnus tekaistulla nimellä mutta moni oli luonut varsinkin Youtubeen nimimerkin jolla pystyi peittämään oman nimensä vaikka sen olisi yhdistänytkin oikeaan Google-tiliin.

Kun Google+ päätettiin liittää Youtubeen, moni käyttäjä menetti nimimerkin käytön mahdollisuuden, eikä vain Youtubessa vaan myös blogeissa ja muissa palveluissa joihin Google+ kommentointijärjestelmä oli implementoitu.

Epäilläänkin että Youtuben naittaminen Google+:n kanssa olisi syyllinen Googlen tekemään päätökseen, juurikin nimimerkkien katoaminen Youtube käyttäjiltä närästi monia ja säikäytti ehkä siten Googlen tekemään nykyisenkaltaisen päätöksen.

Huonoja esimerkkejä:

Youtubesta voi edelleen nähdä ja seurata nimimerkein suojautuneita käyttäjiä joiden kommenttien laatu on varsin alhaista ja törkyistä joten onko muutos nyt parempaan suuntaan kun nimimerkkien käyttö tulee mahdolliseksi myös itse pääpalvelussa eli Google Plussassa?

Ei aivan ehdoitta:

Palvelussa on kuitenkin edelleen nimenkäytölle ehtoja, kuten sille kuinka monta kertaa käyttäjä voi nimimerkin vaihtaa palvelussa.

LÄHDE: Google