28.11.2009

Amatöörien puuhastelua

Joulukuun alusta Ruotsin puolustusvoimat alkaa tarkkailla kaikkea maan rajat ylittävää teleliikennettä. Tämä tarkoittaa lähes kaikkea Suomen kansainvälistä internet-liikennettä. Viestintävirasto ei ole käytännössä huomioinut asiaa lainkaan.

Demonstroin ongelmaa hieman. Seuraavassa on reitinjäljitys omalta tietokoneeltani osoitteeseen facebook.com. Olen lihavoinut muutamien reitittimien DNS-nimistä relevantin näköisiä tunnuksia, joita olen verrannut täältä löytämääni listaan TeliaSoneran Euroopan runkoverkkoreitittimistä. Metodi ei luultavasti ole täysin pomminvarma, mutta sillä saa summittaisen kuvan siitä, miten Suomen ulkomaannettiliikenne reitittyy Ruotsin ja Keski-Euroopan kautta Yhdysvaltoihin.

traceroute [(192.168.0.2:33456) -> (69.63.187.17:33457)],
protocol udp, algo hopbyhop, duration 8 s
1 192.168.0.10 (192.168.0.10)
2 hoasnet-##########.dhcp.inet.fi (###########)
3 141.208.151.193 (141.208.151.193)
4 hkiodngw-e1.datanet.tele.fi (141.208.25.1)
5 hkiasbr2-s0-0-0.datanet.tele.fi (141.208.8.14)
6 hls-b1-link.telia.net (213.248.68.209)
7 s-bb2-link.telia.net (80.91.251.31)
8 ffm-bb2-link.telia.net (80.91.248.57)
9 ffm-b2-link.telia.net (80.91.248.102)
10 verio-ic-128400--ffm-b2.c.telia.net (213.248.69.50)
11 xe-1-1-0.r21.frnkge03.de.bb.gin.ntt.net (129.250.2.12)
12 p64-2-2-0.r23.amstnl02.nl.bb.gin.ntt.net (129.250.3.49)
13 as-0.r21.asbnva01.us.bb.gin.ntt.net (129.250.2.158)
14 * * *
15 te-7-4.r05.asbnva01.us.ce.gin.ntt.net (168.143.228.34)
16 te-9-3.csw08d.ash1.tfbnw.net (204.15.22.59)
17 www-12-08-ash1.facebook.com (69.63.187.17)

(Editoin traceroute-tulosteesta pois hyppyjen väliset aikamittaukset, koska niillä ei ollut tässä merkitystä, ja ne olisivat vieneet liikaa tilaa. Jäljitys tapahtui paris-traceroute-ohjelmalla.)

Tulkintani koodeista:
hki = hls = Helsinki
s = Stockholm
ffm = frnkge = Frankfurt am Main, Germany
amstnl = Amsterdam, Netherlands
asbnva = Ashburn, Virginia, US

tfbnw on varmaankin "The Facebook Network". Ainakin domainin tfbnw.net omistaa Facebook, Inc. Tuosta hypystä eteenpäin liikenne siis kulkee Facebookin verkossa.

Tästä muuten näkee kartalla TeliaSoneran koko globaalin runkoverkon. Kartalta näkee hyvin konkreettisesti, että ainakaan TeliaSoneran runkoa pitkin Suomesta ei pääse ulkomaille (muualle kuin venäläisille ja ehkä myös muille itäeurooppalaisille tai keskiaasialaisille palvelimille) muualta kuin Tukholman kautta.

No mitäs implikaatioita tästä nyt sitten on? Ainakin sellaisia, että 1.12.2009 alkaen aina kun käytät Facebookia, Ruotsin puolustusvoimat seuloo viesteistäsi epäilyttäviä sanoja. Paitsi jos kirjaudut SSL-salattua yhteyttä käyttäen osoitteessa https://www.facebook.com/. HTTPS ei tosin ole kaikilla sivustoilla käytössä. Ja ulkomaille menevä sähköposti kulkee aina salaamattomana, paitsi jos käyttäjä ei itse salaa sitä. Tämä tosin on melko hankalaa nykytekniikalla, koska se vaatii myös vastaanottajalta erillistoimenpiteitä salauksen purkuun.

Eikös olisi ihan kiva, että Suomen Viestintäministeriö olisi vähän panostanut tämän asian funtsimiseen ja siitä tiedottamiseen?

edit: Niin no, kulkeehan se sähköposti maan sisälläkin tietysti salaamattomana, mutta Suomen valtiolla ja operaattoreilla ei ole laissa säädettyjä oikeuksia lukea sitä. Se on hyvin kiellettyä. Ja jos joku kiinnostui sähköpostin salaamisesta, niin tässä jonkinlainen pikagooglauksella löytämäni ohje hommaan. Jos joku tietää paremman ja helpomman ohjeen, siitä saa kernaasti kertoa kommentteihin. Ynnä toki muustakin aiheeseen liittyvästä.

6 kommenttia:

kuihtuma kirjoitti...

I feel like I'm taking the crazy pills.

Tulee aina kauhean vainoharhainen olo tällaisista jutuista, kun ei oikein tiedä mistään mitään. Onko https-yhteyden käyttäminen tosiaan riittävä suojaus? Mitä ihan oikeasti tarkoittaa että Ruotsin puolustusvoimat seuloo meidän juttuja? Jos kirjoitan facebookissa että "ruotsalaiset on ihan tyhmiä", arkistoidaanko se todisteena suomalaisten aggressioista Ruotsia kohtaan?

Tuomo kirjoitti...

HTTPS salaa yhteyden kahden osapuolen välillä niin, että jokin keskellä oleva osapuoli, esim. Ruotsin puolustusvoimat, ei kykene sitä lukemaan. Lisäksi siihen liittyy sertifikaattijärjestelmä, jolla selainohjelma varmistuu siitä, että palvelin osoitteessa blaablaa.com on se, mikä se väittää olevansa.

Wikipedia selostaa toimintaperiaatetta lyhyesti täällä. "– – an HTTPS connection to a website can be trusted if and only if all of the following are true: – – 4. Either the intervening hops on the internet are trustworthy, or the user trusts the protocol's encryption layer (TLS or SSL) is unbreakable by an eavesdropper."

Tässä tapauksessa "intervening hops" eivät ole luotettavia, koska Ruotsin valtio on säätänyt lain, joka tekee Ruotsissa sijaitsevista reitittimistä epäluotettavia. Näin käyttäjä joutuu luottamaan SSL- tai TLS-salausalgoritmin tehoon. Minä kyllä ainakin luotan...

Ja mitä tulee siihen, mitä Ruotsin puolustusvoimat sitten tarkkailee, niin siitä ei kai tiedä kukaan muu kuin Ruotsin puolustusvoimat. Käsittääkseni veruke lain läpi ajamiseen on ollut apua apua terroristit, joten kaipa sieltä alqaidaa ja pommeja ja jotain semmoista etsitään. Lisäksi Ruotsi voi kai voi jakaa keräämiään tietoja Yhdysvaltojen kanssa. Jotain semmoista muistan lukeneeni. Tuossa Piraattiliiton uutisessa ei näemmä ollutkaan siitä mainintaa.

kuihtuma kirjoitti...

OK, kiitos selityksistä! Lueskelin jotain juttuja tuohon liittyen, mutta en aina ihan ymmärrä ilman rautalankamalleja... Löysin effi.org-sivulta alkuvuodelta 2007 olevan lehdistötiedotteen joka ilmeisesti kertoo juuri tästä päätöksestä. Eli tästä on päätetty yli kaksi vuotta sitten ja Suomen viestintäministeriö kertoi siitä eilen? Jee jee.

Anonyymi kirjoitti...

Sekoitat nyt kaksi asiaa kun puhut sähköpostista: salaus ja kryptaus. Salauksesta puhutaan silloin kun yhteys kahden palvelimen välillä on salattu. Krypatauksella tarkoitetaan sähköpostin viestiosan salausta. Salatussa yhteydessä kaikki tieto liikkuu salattuna, mutta kryptaus kryptaa vain itse viestin, ei esimerkiski tunnistetietoja.

Sähköpostipalvelinten välinen liikenne kulkee yleensä TLS-salattuna eli siis puhutaan samantasoisesta suojauksesta kuin verkkosivujen "https". Tosin varmahan tästä ei voi aina olla, koska monet sähköpostipalvelimet ovat oletusasetuksilla käyttämättä TLS-salausta. Mutta jos jätetään pois laskuista 1 euron webhotellit, niin sitä isommissa ympyröissä salaus kyllä osataan lähes aina kytkeä päälle palvelinta konfiguroitaessa.

Salauksen toteutuminen vaatii siis sitä että sekä lähettävä että vastaanottava palvelin tukevat samaa salausta (yleensä TLS). Muussa tapauksessa käytetään aina salaamatonta yhteyttä.

Toinen vaikuttava seikka on toki myös se, salataanko liikenne asiakkaan sähköpostiohjelman ja saapuvan postipalvelimen välillä, eli käytetäänkö salaamatonta POP3- tai IMAP-protokollaa vai salattuja POP3S- ja IMAPS-protokollia. Mutta luulisin että nykyisin ei juurikaan noita salaamattomia käytetä sen enempää kuin telnettiäkään SSH:n sijasta.

Tuomo kirjoitti...

Vähän ongelmallista, jos on erikseen käytössä sanat salaus ja kryptaus eri tarkoitteisina. Melko lailla samasta asiasta on kyse, vaikka olet kyllä oikeassa siinä, että selventämisen paikka tässä on.

SSL ja TLS tarkoittavat tapoja suojata TCP-yhteys asiakasohjelmasta palvelimeen (esim. siis IMAP- tai SMTP-yhteys sähköpostiohjelmasta). Tämä on ihan hyödyllistä sinänsä, etenkin kun ainakin jossain vaiheessa Soneran sähköpostipalvelin myös suomalaisille asiakkaille on sijainnut Ruotsissa.

Kuitenkaan ei ole mitään takeita siitä, että se sähköposti palveluntarjoajan SMTP-palvelimelta eteenpäin kulkee salattuja yhteyksiä myöten. Tältä varalta toinen salausmuoto eli viestisisällön salaaminen PGP:llä on hyödyllistä. Ja olet oikeassa siinä asiassa, että se ei salaa tunnistetietoja, mutta on silti tyhjää parempi, ja perusteltua myös SSL- tai TLS-salatun yhteyden lisäksi.

Drasa kirjoitti...

Mun mielestä olis hienoa, jos suosittujen webmailipalveluiden tarjoajat lisäisi jonkinlaisen helpon, "yhden napin PGP"-ominaisuuden sovelluksiinsa. Ja vaikka vielä nollan napin purkaminen. Auttaisi varmasti spamminkin kannalta, jos kaikki alkaisivat käyttää edes PGP-varmennettua lähettäjää.