Tukiasemat tukkoon vaan, vai?

Posted onLeave a comment

Helsingin Sanomat uutisoi tänään, että poliisi olisi saamassa laajemmat oikeudet puheluiden estämiseen:

Laki mahdollistaisi yhden tai useamman tukiaseman sulkemisen poliisin päätöksellä, mikä käytännössä estäisi kaikkien alueella olevien matkapuhelimien käytön.

Tällä tavoin voitaisiin estää esim. puhelimella räjäytettävän pommin laukaisu. Ideana tämä on varsin hieno, mutta näen tässä erään melko pahan ongelman. Kun pommeja alkaa ilmaantua katukuvaan, yleensä ihmisillä on myös hätä. Kun näiltä ihmisiltä viedään mahdollisuus soittaa hätänumeroon, alkaa paniikki ja kaaos alueella. Havainnollistan itseäni kuvasarjalla. Kuvasarjassa ● on pommi, ● pommin räjäyttäjä, ● apua tarvitseva ja ◉ tukiaseman kuuluvuusalue.

Alkutilanne

Alkutilanteessa kaikilla kolmella päätelaitteella (pommi, apua tarvitsevan puhelin ja räjäyttäjän puhelin) on mukavasti kenttää ja kuuluvuutta.

Poliisi saa kuitenkin tietoonsa, että jossain mustan täplän alueella voisi olla kaukoräjäytettävä pommi. Ryhdytään toimiin. Poliisilla on useita vaihtoehtoja, joista mikään ei ole kovin ongelmaton.

Tilanne A

Tilanne A: Poliisi sulkee pommia lähimmän tukiaseman, tässä tapauksessa siis pommista hieman lähteen olevan. Kas kummaa, vaara ei poistu. Räjäyttäjä voi edelleen soittaa pommiinsa ja räjäyttää sen. Toisaalta apua tarvitseva voi myös edelleen soittaa mihin haluaa.

Tilanne B

Tilanne B: Poliisi sulkee kaikki pommin lähellä olevat tukiasemat, jolloin pommi luonnollisesti ei ole räjäytettävissä, ainakaan kännykän välityksellä. Toisaalta, apua tarvitsevallakaan ei ole mitään mahdollisuuksia soittaa hätäkeskukseen.

Vaikka pommi onkin nyt ”vaaraton”, voi olla että räjäyttäjällä on useita pommeja sijoiteltuna eri paikkoihin.

Tilanne C

Tilanne C: Kaikkien potentiaalisten tukiasemien sulkeminen, mukaanlukien ne, jotka ovat räjäyttäjän epäillyn sijainnin lähistöllä.

Jos poliisin työ olisi täysin tarkkaa, tämä poistaisi vaaran, vaikka pommeja olisi toisaallakin. Valitettavasti täydellisyyteen hyvin harvoin päästään. Kun mietitään, että räjäyttäjiä on useita, ja pommeja vielä enemmän, alkaa tilanne olemaan siinä pisteessä, että tehokkainta olisi katkaista koko maan matkapuhelinyhteydet, ja jättää kaikki suomalaisten liki 7 miljoonaa matkapuhelinta mykäksi. Tämä aiheuttaisi todennäköisesti suuren kokoluokan paniikin ja kaaoksen.

Mikäli asia jäi epäselväksi, pähkinänkuoressa en usko että tukiasemien estämisellä voidaan voittaa enemmän kuin hävitä. Tässä esittämäni skenaario on hyvin pelkistetty, eikä ota huomioon sitä, että pommeihin voidaan asentaa myös toissijaisia räjäytysmekanismeja. Jos itse haluaisin jotain räjäyttää tällä lailla, harkitsisin enemmänkin kuolleen miehen kytkimen tapaista ratkaisua, jossa pommille pitää soittaa esim. 30 minuutin välein, jotta se ei räjähdä. Tällöin poliisin hätiköidyt tukiasemien tukkimiset saattaisivat vain pahentaa tilannetta.

On selvää, että näen asian maallikon silmin ja poliisilta löytyy tietotaitoa enemmän tällaisen asian pohdiskeluun, mutta jos oikeuksia käytetään hätiköidysti – kuten voi käydä, kun todellinen kriisitilanne on päällä – alkavat vahingot käydä hyötyjä suuremmiksi.

Poliisin tukiasemien sulkemisoikeutta parempana vaihtoehtona – vaikkeivat ne toisiaan poissulkevia olekaan – näen laajemman tiedustelutoiminnan ja sitä kautta ennen kaikkea tällaisten tilanteiden ennaltaehkäisyn.

Yleensä Suomi nähdään eräänlaisena lintukotona, ja tätä kuvaa on hyvä pitää yllä – ei keinotekoisesti – vaan todellista turvallisuutta valvomalla ja tarvittaessa sen palauttamista kaikin keinoin. Se on poliisin tehtävä.

HP:lta positiivinen yllätys

Posted onLeave a comment

HP-tulostimeni vikaantui ja olin yhteydessä HP:n tukeen asian tiimoilta. Erinäisten hämäryyksien jälkeen he pyysivät minua lähettämään kirjeitse heille tulostimen itsetestisivun, ja sen heille Ruotsiin lähetinkin.

Posti kuljetti kirjettä oman aikansa, ja HP päätti että laitevaihto on paikallaan:

– Olen tilannut sinulle vaihtolaitteen.
– Se on pelkkä runkotoimitus, joten säästä vanhasta tulostimestasi mustepatruunat, johdot, virtalähde ja kaikki vastaavanlaiset irto-osat.
– Anna niiden olla kiinni viallisessa laitteessa kunnes saat siirrettyä ne vaihtolaitteeseen.
– Vaihtolaitteen tuo annettuun osoitteeseen UPS:n kuriiripalvelu.
– Laitteen arvioitu saapumispäivä on torstai, 17. marraskuuta 2010.
– Sen jälkeen kun vaihtolaite on saapunut, siirrä vanhasta tulostimestasi em. irto-osat vaihtorunkoon.

Ok, tehokasta toimintaa. Viesti jatkuu:

Viallista laitetta ei tarvitse palauttaa. Toimita se asianmukaiseen kierrätykseen tai anna jollekin tekniikasta kiinnostuneelle tutkimusmateriaaliksi.

Ilmeisesti tuo tulostimen mystinen diagnostiikka-asiakirja ihan oikeasti sisältää jotain raakoja faktoja laitteen kunnosta, sillä muutoinhan tällaisessa olisi suuri väärinkäytöksen riski.

Ok, kun uuden laitteen myyntihinnasta vähennetään HP® Mustepatruunoiden® ja HP® Virtalähteen® myyntihinta, ollaan jo raa’asti miinuksella. Ilmeisesti HP tekee niin hyvää tiliä mustepatruunoillaan, että tulostimia on varaa lahjoitella kuluttajille. En tässä halua tietenkään ketään yllyttää väärinkäytöksiin, ja haluan korostaa, että oma laitteeni on ihan oikeasti rikki.

Mietin, mahtaako rikkinäisten HP-tulostimien antaminen ”jollekin tekniikasta kiinnostuneelle tutkimusmateriaaliksi” olla HP:n virallinen kanta. Mikäli joku haluaa tutkimusmateriaalia, voin tulostimesta (ilman ”irto-osia”) luopua, jos sen joku haluaa tulla hakemaan, kunhan uusi laite saapuu. Kiinnostuneet kommentoikoon. Jos (/kun) halukkaita ei löydy, täytynee tulostin viedä SER-pisteeseen kierrätettäväksi. Nyt siis kaikki markorepairsit ja pasiviherahot liikkeelle 🙂

Viimeisenä mietteenä pohdin vielä, kuinka UPS aikoo toimittaa pakettini, kun kerrostaloni rappukäytävä on jatkuvasti lukossa, eikä edes posti-pate pääse sisään. Puhelinnumeroanikaan ei raasuilla ole. Tämä jäänee nähtäväksi, mutta onhan tässä viikko aikaa odotella.

XSS-haavoittuvuudet suomalaisilla sivuilla vuonna 2010: 5%

Posted onLeave a comment

Vuonna 2008 kirjoitin blogiini cross-site scripting (XSS-) -haavoittuvuuksista. Nyt, reilun kahden vuoden jälkeen, lienee hyvä hetki tarkastella asian kulkua.

Testasin muutamalla ”pahantahtoisella” hakulauseella 20 verkkosivun hakukenttiä, ja niistä vain yksi oli lievästi XSS-haavoittuvainen. Sivut oli valittu Googlen haulla ja rajattu vain suomalaisiin .fi-verkko-osoitteisiin. Läpi menivät seuraavat verkkosivut:

thl.fi, kommunportalet.fi, ruokatieto.fi, varastokirjasto.fi, tampere.fi, environment.fi, st1.fi, lieksa.fi, itameriportaali.fi, stat.fi, luontoon.fi, cimo.fi, minedu.fi, mediakasvatus.fi, yrittajat.fi, tekes.fi, hse.fi, terve.fi ja lahtienergia.fi.

Se, että käyttämäni hakulauseet eivät saaneet sivuja näyttämään mitään hassua, ei tarkoita sitä, etteivätkö ne voisi olla muuten haavoittuvaisia. En esimerkiksi kokeillut SQL-injektioita lainkaan, enkä lähtenyt jokaista sivuston kenttää kokeilemaan.

Mitä sitten  on tehty, että nykyään verkkosivut eivät ole yhtä reikäisiä kuin ennen? Moni sivu näytti vuonna 2008 hakukentässä tai muualla hakusanat, ja tässä oli iskun paikka. Nykyään noita tietoja ei käyttäjälle enää juurikaan näytetä. Ei ehkä käyttäjäystävällisin ratkaisu, mutta tässä suhteessa pomminvarma.

Osa sivuista oli toteuttanut asian ”oikealla” tavalla, ja muutti HTML:n pahat merkit niiden entiteettimuotoihin. Mutta nämä sivut jäivät selkeästi vähemmistöön.

Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.

Selkeästi vuoden 2008 mediamylläkkä sai verkkosivujen ylläpitäjät hereille tällaisista aukoista, sillä nykyinen 5 %:n taso on varsin positiivista. Työtä tosin riittää, ja muunkinlaisia haavoittuvuuksia löytyy verkkosivuista joka hetki. Laput silmillä ei siis kannata kulkea nykyäänkään.

Muutamia päivityksiä ja sananen maailman menosta

Posted onLeave a comment

HP ja Linux

Kirjoitin joku aika sitten HP:n omituisesta Linux-hylkimisestä. Tämä asia on edennyt verrattain hyvin, lähetin HP:n Suomen tukeen Ruotsiin postitse tulostimeni itsetestisivun, ja kun maamme lakkoileva postilaitos saa kirjeen rajan taakse ja paikalliset posteljoonit siitä perille, vikaankin saatanee selvyys. HP:lla on kuitenkin mielenkiintoinen laitevaihtopolitiikka (lainaus sähköpostikirjeenvaihdosta):

  • Mikäli takuun alaisessa laitteessa on tekninen vika joka ei korjaannu antamillamme ohjeilla, asiakkaalle toimitetaan vaihtolaite.  
  • Takuun alaisia laitteita ei korjata tai huolleta, laitevaihto on  vialliselle laitteelle ainoa vaihtoehto.
  • Vaihtolaitteen toimittaminen edellyttää vianetsintää ja ongelmanratkaisun suorittamista.
  • Ongelmanratkaisutoimenpiteiden suorittaminen edellyttää yleensä sitä, että käytetään HP:n tukemaa käyttöjärjestelmää. 
  • Ellei ongelmanratkaisua pystytä suorittamaan sen takia, että käytössä on ns. ei-tuettu käyttöjärjestelmä, ei myöskään laitevaihtoa pystytä suorittamaan.

Hämärää. Tiivistettynä siis HP:n omien periaatteiden mukaan laitteistovian aiheuttama laitevaihto saattaa vaatia Windowsin. Tähän lienisi kuluttajansuojaviranomaisilla mielipiteensä annettavana. Koska kuitenkin ilmeisesti itse kuuluin siihen vähemmistöön, jonka ei tarvitse käyttää HP:n tukemaa käyttöjärjestelmää ja diagnostiikkatoimenpiteet olivat suoritettavissa vaikka ilman tietokonetta, en ala tästä asiasta tämän enempää itkemään.

Elisan 100M viihde 

Kirjoitin myös Elisan kaapeliviihteestä, joka on ”jopa 100Mbit/s”. Tämähän ei luonnollisesti toteutunut lähellekään, ja Elisaa asiasta lähestyin. He kertoivat aikataulun olevan sellainen, että vuoden loppuun mennessä homman pitäisi olla kunnossa.

En tiedä, mitä ovat Elisalla tehneet, mutta kertomistani yhteysnopeuksista ollaan päästy parempaan suuntaan. Tällä hetkellä alaslatausnopeus näyttäisi olevan 24h keskiarvona noin 30Mbit/s. 24h minimi 9,3Mbit/s ja maksimi 51,8Mbit/s. Näissä luvuissa ei ole edes otettu huomioon TCP:n overheadia, joten todellisuudessa nopeudet ovat himpun verran suurempia.

Kuitenkin Elisan mainitsema tekstiviesti siitä, että vika on poistunut, on jäänyt tulematta, joten odottelen nyt ainakin toistaiseksi sitä samalla tilannetta tarkkaillen. Parempaan suuntaanhan tässä ollaan menty, vaikkei oikein tavoitteessa vielä voidakaan sanoa oltavansa[1].

Muutamia asioita, joiden tilaa seuraan tällä hetkellä

Internetin ihmeellisessä maailmassa tapahtuu jatkuvasti kummia, mutta muutamaa tarinaa olen seurannut enemmän tai vähemmän säännöllisesti. Tässä niistä kaksi:

Matti Virkkunen ja viallinen läppärin näppäimistö. Tätä kirjoittaessa em. henkilö on tapellut HP:n kanssa jo yli kolme kuukautta. Uskomatonta tarinaa HP:n tuotteiden ja huollon toimivuudesta. Toivoa sopii, ettei tulostimeni kanssa tarvitse samaan hullunmyllyyn joutua, vaikkakin kirjoittaja kertookin tarkoituksella HP:ta piinaavansa.

Ison-Britannian oma ”VR” ja sen suhtautuminen julkaisemansa junadatan käyttöön Alex Hewsonin ilmaisessa sovelluksessa. Mielenkiintoista avoimuutta kertakaikkiaan. Toivoa sopii, että PR-paineet ovat tälle yritykselle liikaa ja taipuvat kehittäjän tahtoon.

* * * * *

Tällaista päivitystä tällä kertaa. Kommentoida saa.

1) Ihana suomenkieli. Joku voisi kertoa, taivutinko kaikki sanat oikein tuossa, sillä kielikorvani – niin harjaantunut kuin se onkin – meni täysin lukkoon kun tuota luin.

HP:lla sulkeiden merkitys hakusessa?

Posted onLeave a comment

Ostin kesällä itselleni uuden tulostimen, HP DeskJet D2660 -värimustesuihkun. Teknisista detaljeista ja kehnosta hinta-laatu -suhteesta viis, laitteeni alkoi yllättäen syöttää paperia missä asennossa sattuu ja ”sutimaan tyhjää” vaikka paperia olisi alustalla ollutkin.

Ajattelin tiedustella HP:lta mahdollisia toimenpiteitä, millä tulostimen saisi ehkä jopa pelittämään asianmukaisesti. Heiltä tulikin geneeriset ”katso että paperialustalla on paperia yms.” -ohjeet. Samassa yhteydessä he muistivat myös kertoa, että koska käytän Linuxia, he eivät voi puuttua ohjelmistpuolen mahdollisiin ongelmiin. Vastasin heille seuraavasti (lihavointi ja alleviivaus lisätty vasta tähän):

Valitettavasti ohjeenne eivät ratkaisseet ongelmaa, ja epäilen vahvasti, ettei kyseessä ole ajuriongelma (vaikkakin on ehkä hieman ristiriitaista samaan aikaan ylläpitää HPLIP-ajuria ja olla tukematta Linuxia). Vaikuttaa myös siltä, että paperinsyöttöongelma ja 2. sivun tulostusongelma ovat toisistaan riippumattomia. Jälkimmäiseen mainittakoon, mikäli se vianrajausta yhtään helpottaa, että toisinaan laite jää vilkuttamaan virran merkkivaloa (ajurin tilaviesti ”Canceling”), eikä tilaa voi purkaa kuin irrottamalla laite virtajohdostaan.

Ilmeisesti joko a) viestin käsittelijä ei pitänyt antamastani kritiikistä tai b) käsittelijälle ei sulkeet muuten olleet tutut, sillä vastaus oli seuraava:

Vaikka tulostimelle löytyykin ns. HPLIP -materiaalia, käyttöjärjestelmänä Linux ei kuulu HP:n tukemiin käyttöjärjestelmiin. Näin ollen laitteelle joka käyttää Linux -käyttöjärjestelmää, enkä pysty antamaan sinulle puhelin- tai sähköpostitukea. Tukea on kuitenkin saatavana alla olevasta linkistä. (Get Help -> ”Ask a Question” button):
http://hplipopensource.com/hplip-web/support.html

Korostan tässä, että HP:n tuki ei ottanut kantaa viestissään mihinkään muuhun kuin tuohon sulkeissa olevaan tekstiini, vaan päättivät ilmoittaa että ”Ei Linux-tukea”. Jätinkö asiani todella noin epäselväksi? Mielestäni en. (Kommentoida saa). Siispä rustaamaan HP:n tuelle selvennystä ja lisäohjepyyntöä:

Valitettavasti vastauksenne ei ratkaissut ongelmaani. Haluan lisäksi korostaa, että aiemmassa kirjeenvaihdossa mainitsemani ristiriitaisuus HP:n Linux-ajurin ja HP:n Linux-tuettomuuden välillä oli puhtaasti sivuhuomautuksellinen palaute yhtiönne toiminnasta, eikä sinällään liittynyt tähän ongelmaan. Olen vastaanottanut ja ymmärtänyt ilmoituksenne siitä, että Linux ei kuulu käyttötukenne piiriin, ja ottanut huomioon sen omassa toiminnassani. Teidän ei tarvitse enää ilmaista tätä asiaa minulle.

Pyydän teitä keskustelun helpottamiseksi huomioimaan, että käytän – yleisen suomen kirjakielen tavan mukaisesti – kaarisulkeita ”(” ja ”)” merkitsemään tekstistä mielestäni vähemmän merkityksellisiä asioita, sivuhuomautuksia ja täsmennyksiä. Toivonkin, että jatkossa tulkitsette viestini niin, että myös – ja varsinkin – sulkeiden ulkopuolinen sisältö on merkityksellistä. Teidän toimintaanne helpottaaksenne pyrin lisäksi jatkossa olemaan selkeämpi omassa viestinnässäni.

Kuten aiemmin mainitsin, en usko että kyseessä on ongelma ohjelmistossa, vaan sen sijaan esim. mekaaninen vika tulostinlaitteistossa, joka ei ollut korjattavissa käyttäen mainitsemianne huoltotoimenpiteitä. Mikäli te kuitenkin uskotte, että kyseessä on ohjelmistovika tai mikäli ette halua antaa edes laitteenne laitteistolle tukea koska käytän Linuxia, olkaa hyvä ja ilmaiskaa asia vastauksessanne.

Mikäli kuitenkin voitte auttaa, toivon että kertoisitte onko vielä jotain, mitä voisin laitteeni käyttökuntoiseksi saamiseksi tehdä, ja jos ei, millä tavoin se on saatettavissa teidän huollettavaksenne.

Joku voisi väittää, että piilovittuilen, mutta siitä ei ole kyse. Toivon, että viesti selventää HP:llekin tilanteeni, ja että HP ei ihan oikeasti ole sitä mieltä, että jos käyttää Linuxia koneessa, ei HP vastaa vaikka laite räjähtäisi omia aikojaan. Vastausta odotellessa.