maanantai 28. marraskuuta 2011

Tervetuloa, riistoelektroniikan lisävero!

Viime aikoina on ollut kovasti puhetta siitä, pitäisikö esimerkiksi kännykät ja tietokoneet tuoda ns. hyvitysmaksun eli "kasettimaksun" piiriin. Itse en monista muista poiketen jaksa pitää tätä kovinkaan pahana juttuna.

Tokihan hyvitysmaksun laajeneminen tarkoittaisi sitä, että uusia laitteita ostamalla tukisi jatkossa tahtomattaan "tekijänoikeusmafiaa" ja siihen kytköksissä olevia artisteja, joskus jopa useampaan kertaan. Tämä on kuitenkin mielestäni hyvin vähäinen ongelma verrattuna siihen, että kyseisiä laitteita hankkimalla tukee jo nyt ihan oikeita mafioita ja ihan oikeita ihmisoikeusrikoksia. Orjia menehtyy kongolaisilla kaivoksilla, jotta nykykännyköiden energiantarpeisiin saadaan riittävän järeitä akkuja. Kiinassa toiset orjat tekevät itsemurhia, koska heillä ei ole elämässään muuta sisältöä kuin sikahalpojen elektroniikkalelujen kasaaminen lähestulkoon nälkäpalkalla. Elektroniikan ylituotantoa ja ympäristöongelmia olen sivunnut jo aiemmin viimetalvisessa kirjoituksessani "Tarvitseeko meidän hukkua elektroniikkaromuun?".

EFF:n ja poliittisen piraattiliikkeen kaltaiset tahot ovat toki hyvällä asialla pitäessään meteliä tietotekniikkaan ja viestintään liittyvistä ihmisoikeuskysymyksistä, mutta varsin usein tuntuu, että ne ovat niin tiukasti jumiutuneet markkinavoimien ja virtuaalitodellisuuksien suodattamaan näkökulmaansa että unohtavat kolikon kääntöpuolelta löytyvät ongelmat kokonaan.

Koska kasettimaksulla on nähdäkseni mahdollista vähentää uuden elektroniikan ostamisen houkuttelevuutta, pidän sitä tässä yhteydessä enemmän hyvänä kuin huonona asiana riippumatta siitä, keiden turhien julkkisten tai liikemiesten elämää sen tuotolla rahoitetaan. Oikeastaan voisin hieman provosoiden todeta jopa, että mitä vastenmielisemmille artisteille ja sijoittajaloisille hyvitysmaksun tuotto menee, sitä parempi, sillä sitä paremmin ihmisiin on mahdollista valaa boikotti-intoa hyvitysmaksullisia tuotteita kohtaan.

En mitenkään varauksetta kannata ehdotetun kaltaista teostomaksua kännyköihin ja tietokoneisiin, mutta sen pohjalta voisi mielestäni rakentaa hyvinkin toimivan "elektroniikkalaitteiden ympäristö- ja ihmisoikeusveron". Tämä vaatisi sitä, että maksuun tehtäisiin kunnon porrastus, jossa riistomeiningistä sakotetaan ja elämänmyönteisyydestä palkitaan. En tiedä, mihin konkreettisiin ja helposti tarkistettaviin ominaisuuksiin tällainen porrastus olisi paras sitoa, mutta veikkaisin, että esimerkiksi yleinen tekninen avoimuus dokumentaation muodossa ja varaosien saatavuus voisivat korreloida perusinhimillisen etiikan kanssa varsin hyvin.

Pakollisten lisämaksujen käyttö markkinoiden ohjailemiseen voi tietysti kuulostaa kamalalta holhousmentaliteetilta, mutta niin kauan kuin markkinoille ei ilmesty "reilun kaupan kännyköitä" edes niille, jotka ovat oikeasti valmiita maksamaan sellaisista reilusti lisähintaa, on mielestäni ihan oikeutettua luoda sellaisille tilaa lakiteknisin keinoin.

Toivotan siis tervetulleeksi hyvitysmaksun laajenemisen, kunhan sen painopiste siirretään mahdollisimman pian pois tekijänoikeusteollisuudesta ihmisoikeus-, kansalaisoikeus- ja ympäristöpolitiikan puolelle.

maanantai 7. marraskuuta 2011

Jos jopa Anonymous saa hankittua hetuja, niin mihin ammattirikolliset pystyvät?

Suomessa on viime päivinä kohistu tietovuodosta, jossa useiden tuhansien ihmisten henkilötietoja on laitettu levitykseen julkisille nettisaiteille. Syylliseksi tietomurtoihin on nimetty vaaralliselta kuulostava Anonymous-kräkkeriryhmän Suomen osasto".

Ammattilaispiireissä "Anonymouksen" kaltaisia ryhmiä kutsutaan yleisesti skriptikakaroiksi (script kiddies). Heidän tietomurtotaitonsa ovat useimmiten aika vaatimattomat rajoittuen netistä ladattujen valmiiden hyökkäysohjelmien (tai "skriptien") käyttöön ja teknisesti suhteellisen yksinkertaisiin temppuihin kuten SQL-injektioihin. Skriptikakaroista ei siis pitäisi olla juuri vaaraa järjestelmille, jotka on testattu kattavasti ja joiden tietoturva-asiat pidetään kunnossa.

Vaikka roskalehdet kuinka maalailisivat uhkakuvia vaarallisesta "Anonymous-ryhmästä", ei kenenkään kannata mielestäni olla huolissaan heikäläisten olemassaolosta. Todellinen huolenaihe on sen sijaan se, että henkilörekistereitä sisältävät tietojärjestelmät saavat täysin vapaasti olla niin reikäisiä, että jopa nettimaailman pikkuvandaalit voivat päästä niihin noin vain käsiksi. Vähän sama siis kuin jos karkkivaras pystyisi ryöstämään pankkeja karkkivarkaantaidoillaan.

Nettirikollisuus on usein sellaista, ettei sitä edes huomata ellei tekijä varta vasten pidä metakkaa teoistaan. Skriptikakarat ovat aina halunneet julistaa saavutuksensa koko maailmalle siinä missä vakavastiotettavammat systeemikräkkerit ovat pyrkineet pitämään tekonsa piilossa. Näin oli jo 80-luvulla ensimmäisten kräkkerikohujen aikaan ja sama kaava pätee nykyäänkin. On perusteltua olettaa, että isoa huomiota saavat kuvafoorumikäyttäjien kepposet edustavat vain jäävuoren huippua verrattuna siihen, mitä pinnan alla tapahtuu: sillä aikaa kun julkiselle webbisaitille vuodetaan parikymmentätuhatta hetua ihan vain "for lulz", on joku ammattirikollisten ryhmä voinut täysin huomaamatta käydä vaikkapa tekemässa itselleen kopion koko Väestörekisterikeskuksen tietokannasta.

Voisiko tämä sitten olla mahdollista? Ottaen huomioon sen, kuinka valtio ja kunnat ovat viime vuosina niin perusteellisesti mokailleet tietojärjestelmähankinnoissaan, pitäisin jopa todennäköisenä sitä, että monissa kriittisissä valtion järjestelmissä on asiansa osaavien tietomurtajien mentäviä aukkoja. Jos päättäjät kerta toisensa perään hankkivat tietoteknistä osaamista firmoilta, joissa yleisesti kuvitellaan, että kokeneen tekijän voi korvata kymmenellä tai edes sadalla tai tuhannella vastavalmistuneella intialaismaisterilla, voidaan tuskin olettaa, että he ymmärtäisivät ohjelmistotyön laadun päälle sen vertaa että osaisivat vaatia pomminvarmaa tietoturvaa.

Arvon tiedotusvälineiden edustajat voisivatkin siis näin ollen jo vähitellen kääntää valokeilansa pois huomiohakuisista nettihäiriköistä ja heidän trollailuistaan ja kysyä sen sijaan, kannattaisiko ohjelmistotyön laatuun noin yleensä ruveta kiinnittämään vähän enemmän huomiota varsinkin jos hankkeissa on kyse ihan oikeiden ihmisten ihan oikeasta yksityisyydensuojasta.