Ohjelmistot, laitteisto ja valvonta

Scientific Americanissa oli taannoin pitkähkö artikkeli "The Hacker in Your Hardware", jonka sisältöä voi hyvin käyttää pohjustuksena kysymykselle: "Mihin perustat uskomuksesi tai varmuuden tunteesi siitä, että elektroniset laitteesi eivät sisällä mitään sellaista, jota tuotteen valmistaja ei siihen tarkoittanut sisällyttää?" Ajatuksesi voivat tällaisen kysymyksen kohdalla suuntautua ensin kohti jotain valtiota, kuten vaikkapa Kiinaa, mutta parempilaatuinen mietintä lähtee muodostumaan pikemminkin valmistusprosessin ja kuljetuslogistiikan kautta asiaa ajatellen. Ennen kuin mikropiiri on pakattu suojaavaan koteloonsa ja siitä ulkonee joukko liitäntänastoja, sitä on ollut suunnittelemassa usea eri taho, jotka eivät välttämättä ole toisistaan edes tietoisia, vaan he ovat suunnitelleet ehkä vain jonkin tietyn osuuden yksittäisen mikropiirin tai laitteistosarkkitehtuurin toimintaan liittyen. Heidän toimiaan on mahdollisesti koordinoinut tuotantoa out sourcing -mallisesti ulkoistanut taho, joka on lopulta koostanut saaduista erillisistä suunnitelmista lopullisen version ja käyttänyt sen jälkeen vielä yhtä tai useampaa alihankkijaa valmistamaan varsinaiset fyysiset tuotteet. Töiden eri vaiheissa ja niiden välillä suunnitelmiin ja toteutuksiin voi päästä mukaan jotain ylimääräistä tai muokattua, jotka läpäisevät kaikki tuotetarkastuksen vaiheet, päätyen täten esim. loppukäyttäjän tietokoneeseen.

Vaihtoehtoisesti voidaan käyttää, ja paljon käytetäänkin, valmiskomponentteja, mutta voiko lopputuotteen valmistaja olla varma siitä, että komponentit, joiden päällä lukee jokin koodi, ovat varmasti sellaisia kuin mitä luki B2B-verkkomarkkinapaikan (Business To Business) tuotetiedoissa, tuotteita tuhatmäärin ostoskoriin laitettaessa? Entä voiko olla varma siitä, että ostavan tahon käyttöön päätyy juuri ne komponentit, joita tilattiin? Nykyisin voidaan rahtien kulkua seurata varsin tarkkaan ja kollien ollessa merkittyjä RFID-tageilla eivät ne ainakaan muihin normaaleihin lähetyksiin sekaannu, mutta riippumatta siitä onko lastien käsittelijöinä ihmisiä vai johonkin tehtävään ohjelmoituja tietokoneita, ei ehkä silti voida saavuttaa aivan täyttä varmuutta siitä, että kuljetusreitti on suojattu alusta loppuun.

Ote artikkelista: "In today"s world, however, the design process for a single, large integrated circuit can involve contributions from hundreds or even thousands of people at locations on multiple continents. As this design goes through various stages of development, portions of the design are stored on many different physical platforms and repeatedly exchanged among many parties. For example, an American manufacturer might combine designs from separate branches of the company with designs from third party vendors in the U.S., Europe and India, then fabricate the chip in a Chinese factory." (Villasenor 2010)

Laitteiden virtapiirit ovat siitä hankalia, että ihmismielen on hankala ymmärtää niiden käyttötarkoituksia ja käytöstä ilman erilaisia instrumentteja ja apuvälineitä toisin kuin lähempänä ihmisajattelua olevaa englanninkielisiä termejä sisältävää ohjelmointikoodia. Tämä tekee virtapiirien testaamisen eksponentiaalisesti hankalammaksi, minkä vuoksi pelkästään kaikkien mahdollisten testitapausten ja varmistusten määrittely olisi erittäin paljon aikaa vievää työtä, eikä välttämättä edes mahdollista. Valistunut ja pitkälle kouluttautunut asiantuntija kykenee kyllä lukemaan sujuvasti virtapiirien toimintalogiikkaa vastaavaa dokumentaatiota, kaavioita ja kuvailuja, mutta kokonaisuus voi olla niin laaja, ettei yksittäinen ihminen pysty tajuamaan sitä.

Haittakomponentit (eng. malicous hardware) tietokoneissa tekevät erilaiset verkon kautta tapahtuvat hyökkäykset normaalia helpommaksi, niiden usein kohdistuessa suuryrityksien sijaan pienyrityksiin, koska niillä ei ole vastaavia resursseja "suojavarusteluun". Olennaista on se, mihin tarkoituksiin haittakomponentteja käytetään. Yksittäisten ihmisten kohdalla voi olla niin, että samaa tietokonelaitteistoa käytetään esim. viisi vuotta, minä aikana hänen elämässään ehtii tapahtumaan kaikenlaista - viisi vuotta sitten hän oli ehkä vielä tavallinen opiskelija, mutta viiden vuoden jälkeen oman pienyrityksen toimitusjohtaja tai kansalaisaktiivi.

Yhdysvaltain asevoimien tutkimusorganisaatiolla (DARPA) on luontainen kiinnostus kaikenlaisiin uhkiin ja se on ilmaissut aidon huolensa siitä, että Yhdysvaltain armeijan käytössä olevan aseistuksen sisältämät mikropiirit voisivat sisältää tuntemattoman osapuolen "pahansuopaiseksi" luokiteltavia virtapiirejä. Tähän liittyen DARPA:n kymmenien eri projektien joukosta löytyykin projekti nimeltä TRUST In Integrated Circuits.

Ote Scientific Americanin artikkelista: "Given the sheer number of people and complexity involved in a large integrated circuit design, there is always a risk that an unauthorized outsider might gain access and corrupt the design without detection. A very small - but not zero - risk also exists that a design could be corrupted by someone with internal access. While the overwhelming majority of people involved in any aspect of circuit design will endeavor to deliver designs of the highest quality, as with any security issue, malicious actions taken by even a very small minority of those with inside access acting maliciously can create significant problems." (Villasenor 2010)

Tällaisissa asioissa ei aina ole kyse sellaisista toimijoista, joilla on suuret resurssit (esim. "vieras valtio"), vaan tietämys ja dokumentaatio johonkin tuotteeseen lisätystä esim. kaukoaktivoitavasta toiminnosta voi vuotaa myös "pikkutekijöiden käsiin". Sanalla pikkutekijä viitataan tässä lähinnä osallisten verkoston pienuuteen, eikä niinkään heidän kyvykkyyteensä. Tällainen verkosto voi koostua esim. rikosten tekemiseen taipuvaisista yliopisto opiskelijoista, joilla on erinomaiset tekniset taidot ja suhteita ihmisiin, jotka hoitavat erilaiset vaadittavat käytännön työt.

Jos tällaisen pienverkoston tietoon pääsee esim. sellaista, että jonkin älypuhelinmallin voi saada täydelliseen etäkontrolliin kunhan ensin lähettää sille tietyn käskysarjan, voi tätä tietoa hyödyntää monella tavalla. Itseasiassa tällaista tietoa hyödyntääkseen ei tarvitsisi olla edes erityisen pitkälle ohjelmistoteknisellä alalla kouluttautunut, vaan pelkkä sopivanlainen itsekouluttautuneisuus riittäisi myös, mikä lisäisi mahdollisten tiedonhyödyntäjien joukkoon monenlaiset seikkailun- ja kokeilunhaluiset aikamiehet ja teinipojat - ja miksei myös naispuoliset henkilöt, vaikka heitä ohjelmistotekniset asiat ainakin toistaiseksi ovat vähemmän kiinnostaneet.

Kokeilunhaluisuus voi tarkoittaa tässä sitäkin, että halutaan kokeilla, kuinka joku kohteeksi valittu henkilö, jolla on tietynlaisen laitteen tietty malli käytössään, reagoi, kun hänen laitteensa käyttäytyy tietyissä olosuhteissa aina jollain tietyllä poikkeavalla tavalla, jonka syytä hän ei osaa purkaa esiin päättelyn kautta.

Tällainen poikkeava toiminta voisi olla esim. tablet-laitteen näytön kirkkaussäätimen siirtyminen toiseen ääriasentoon näennäisen itsestään, vaikka kirkkausasetus ei olisi asetettu säätymään automaattisesti. Tällaisen kokeilun uhriksi joutuminen voi pidemmän päälle olla erittäin stressaavaa. Ns. kertalaakista pysyvää haittaa aiheuttava voisi olla sellainen teko, jossa jotain laitetta ohjataan ylikuormittumaan siten, että jokin sen sisällä oleva komponentti ylikuumenee ja sytyttää esim. tulipalon tai yksinkertaisesti tuhoaa laitteen käyttökelvottomaksi. Oikosulkusuojauksien ja virrankulkurajoituksien osalta voinee olettaa olevan omat suojausstandardinsa ja testauskeinonsa, mutta kuten toisinaan voi sanomalehdistä lukea on yksinkertaisimmissakin laitteissa toisinaan paloturvallisuusriskin vaaroista varoittavia tuotteidentakaisinvetoja.


The Hacker in Your Hardware. By: Villasenor, John, Scientific American, 00368733, Aug2010, Vol. 303, Issue 2

Erään perhemarketin, jota tässä Bilasseksi kutsuttakoon, työntekijät eivät mitä ilmeisimmin halua olla vain suorittavan työn tekijöitä ja muiden ihmisten palvelijoita, vaan he haluavat olla osana jotain sellaista, joka saa heidät tuntemaan olevansa jotain erityistä, joka yhdistää heitä sosiaalisesti ja joka viehättää heitä yksilöinä (intellektuellisti ja viihteellisessä mielessä). Kassatyö ja tavaroiden siirtely ei tarjoa tätä, vaan se mikä Bilassen työntekijöitä viehättää, liittyy teknologian, psykologian ja matemaattisten mallien hyödyntämiseen ihmisten käytöksen seurannassa, muokkaamisessa, analysoimisessa, selittämisessä ja erityisesti ennustamisessa. He eivät pysty tällaiseen pelkästään keskenään, vaan tarvitsevat toiminnan tueksi joukon muita ihmisiä - tai vaihtoehtoisesti muut ihmiset tarvitsevat oman toimintansa tueksi bilasselaisia.

Toiminnan takaisinmallintaminen osoittaa, että kyse ei ole satunnaisista kokeiluista, joilla saa aikaa kulumaan, vaan systemaattisesta ja vuosien ajan jatkuneesta metodien ja keinojen kehittelystä, kohteiden joutuessa alttiiksi kokeilujen ja jo vakiintuneiden menetelmien aiheuttamalle stressille, mielipahalle, kognitiivisten toimintojen häiriintymiselle ja näiden kautta mm. immuniteettipuolustuksen kuormittumiselle, elimistön metaboliikan häiriintymiselle, käytöksenpiirteiden muuntumiselle ja erheellisille uskomuksille siitä, kuka häneen tällä tavoin vaikuttaa. Käytöksen muutos, elimistön oireilu ja julkinen arvailujen esittäminen voivat johtaa spiraalimaiseen maineen vahingoittumisen kierteeseen.

Viitatessa erityisesti Bilassen työntekijöihin, osoittaa heidän tietynlaisen osallisuuteensa mm. se, kuinka he toistuvasti käyttävät aiemmin johonkin tiettyyn työntekijään liittämiään "ankkureita" (vrt. neurolingvistisen ohjelmoinnin eli NLP:n termiin: "Ankkuri on muistuttava, laukaiseva ärsyke (ulkoinen merkki, kuva, aistimus, sana), joka linkitetään tiettyyn kokemukseen, niin että ankkuri vie suoraan tuohon mielentilaan tai reaktioon.") joko ohjatakseen kohdeyksilön mielentilaa tiettyyn suuntaan tai liittyäkseen mukaan kohdeyksilön toisaalla jo nostattamaan mielentilaan. Vaatii erityistä koordinointia työntekijöiden ja muiden osallistujien kesken, että saadaan luotua nämä mielentilaan vaikuttavat ankkurit tietyn ihmisen mieleen ja jotta voidaan olla liittämättä samoja ankkureita useisiin eri Bilassen työntekijöihin.

Toimintaan osallistuvien tietoon eli siis myös Bilassen työtekijöiden tietoon on saatavilla reaaliaikaisesti (ja samalla luvattomasti) se, mitä on nähtävillä kohdeyksilön tietokoneen monitorilla, mikä mahdollistaa sen helpomman selvittämisen, missä mielentilassa kohdeyksilö on tai tulee olemaan tai ainakin mitä asioita hänen mielessään on vast'ikään aktivoitu ja mihin voi täten liittää muita ajatuksia (ei pysyvää yhdestä kerrasta, mutta toiminnan systemaattisuus pyrkii varmistamaan sen, että "asiaan palataan vielä"). Ts. Bilassen työntekijät eivät toimi tässä pelkästään sen arvauksen varassa, josko kohdeyksilö olisi lukenut tai katsonut jonkun tietyn ajankohtaisen uutisen, vaan he tietävät täsmälleen ja varmuudella, mitä on luettu ja milloin.

Ennakkotietojen avulla Bilassen työntekijät pystyvät olemaan varautuneena kohdeyksilön mielentilan olemiseen tietyllä tapaa aktiivisena riippumatta siitä, onko kohdeyksilö aiheuttanut itselleen tietyn mielentilan vietettyään pitkään aikaa jonkin tietyn aiheen äärellä Internetistä lukien vai onko kyse jostain, joka aiheutettiin juuri hetkeä ennen kuin hän pääsi viimeiselle suoralle ennen Bilasseen saapumista. Mielentila ei viittaa tässä sellaiseen, minkä voisi kuvailla yhdellä adjektiivilla, vaan se on enemmänkin jonkinlainen profiili, joka muodostuu erityisen aktiivisena olevista ajatuksista ja tiettyihin ajatuksiin (mielteet, symbolit, eleet, sanat ym.) liittyvistä tietynlaisista tuntemuksista, sekä mahdollisesta moduloivasta, kauttaaltaan vaikuttavasta tunnetilasta.

Ennustettavuus tulee kuvaan sitä kautta, että kohdeyksilöstä kertyy eri tietolähteiden kautta niin paljon analysoitavissa olevaa tietoa, että sen perusteella voidaan määrittää paljon muutakin kuin pelkkiä todennäköisyysarvoja sille, minä päivänä soijamaito on lopussa ja hakeeko kohdehenkilö tuotteen mistä kaupasta. Lisäksi, pienehkön kaupungin ollessa kyseessä, ei vaihtoehtoja eri asioiden tekemiseen, varsinkaan pyörällä kuljettaessa, ole kovin monia. Kriittistä tähän ennustettavuuteen liittyvien väittämien osalta on mm. se, missä määrin väitetään tietoa vuotavan muista kaupoista ja mitkä ovat kohdehenkilön elämän muut aktiviteetit ja mihin aikoihin hän niitä suorittaa. Siltikin, väittämänä on, että Bilassen työntekijöiden käyttöön on vuosien aikana päätynyt niin paljon tietokoneavusteisessa ennustamistarkoituksessa hyödynnettävää tietoa, että sen pohjalta voidaan luoda työvuorolistoja, joissa esiintyvät juuri ne henkilöt, jotka täsmäävät kohdehenkilön tulevaan mielentilaan, eikä heitä täten tarvitse erikseen kutsua kotontaan työpaikalle 15 minuutin ajaksi tätäkin voi olettaa tapahtuneen. Mitä enemmän "ankkuroituja työntekijöitä" on ja mitä enemmän työntekijöitä on paikalla yhtä aikaa, sitä todennäköisemmin kohdehenkilön mielentila ja aktiivisena olevat ajatukset voidaan saada täsmäämään ostosreissulla läsnä oleviin, soveltuviin työntekijöihin. Tällä on mm. se merkitys, että näistä henkilöistä tulee muutaman altistumiskierroksen jälkeen kohdehenkilön mielen kannalta entistä merkityksellisemmän tuntuisia ja samalla myös näiden henkilöiden läheisyydessä olevat, jotenkin erityiseltä, erikoiselta tai poikkeukselliselta tuntuvat asiat nousevat ympäristöstään herkemmin esiin ja sitä kautta lisää kohdehenkilöön vaikuttamaan.

Toimintaan osallistuvat Bilassen työntekijät muodostavat eräänlaisen entiteetin, jolla on muiden osallistujien suhteen sitä enemmän merkittävyyttä, mitä enemmän he pystyvät sisällyttämään Bilasseen sisälle aina samankaltaisesti vaikuttavia ankkureita, väliaikaisemman oloisia asioita, jotka ohjaavat kohdeyksilön mieltä tai viittaamaan johonkin, joka on Bilassen läheisyydessä. Periaatteessa kaikki mikä on liikuteltavissa tai ympäristöstään esiinkorostettavissa, on mahdollisesti käyttökelpoista, mukaan lukien toimintaan osallistuvat venäläiset turistit, pihalla olevien autojen rekisterinumerot ja läheinen lenkkeilyreitti, jossa kohdeyksilö kävi juoksemassa tunti ennen Bilasseen saapumistaan. Tämän kaiken hallitseminen ja käytön koordinoiminen vaatii jonkinlaista tietojärjestelmää, koska hyvin harva ihminen kykenisi muistamaan edes nimeltä kaikkia esineitä, joita toiminnassa käytetään tiettyyn kohdeyksilöön liittyen. Tämä voi olla kaukana (suomalaisen) median luomasta todellisuudesta, mutta ohjelmistoteknisessä mielessä tässä ei ole mitään ihmeellistä (kaikki tarvittava projektinhallintaohjelmista pilvilaskentapalveluihin ja dataloggereista mobiilikäyttöisiin tehtävänjakosovelluksiin on heti saatavilla).

Osa toiminnasta ei perustu niinkään paljolti teknologian hyödyntämiseen yksittäisten suoritusten osalta, vaan osallistujilta vaaditaan lähinnä sen varmistaminen, että kohdeyksilö päätyy tietylle kassalle, jossa hän tulee yli minuutin ajan altistuneeksi jonkin tietynlaisia (mielen) ankkureita kerryttäneen henkilön olemukselle ja samalla muille ympäristöön varta vasten sijoitetuille ihmisille ja esineille. Ennen kassoille asti pääsyään kohdeyksilön liikkeitä hyllyrivien välissä voidaan kuitenkin seurata mm. sen perusteella, mitä signaaleita hänen älypuhelimensa jättää ympäristöönsä, minkä perusteella jo pelkästään voi useiden erillisten seurantajaksojen aikana muodostaa ennusteita esim. siitä, mitkä tulevat olemaan hänen tulevia kulkureittejään, hienoisesti ohjastettuna tai ilman ohjastusta. Kohdeyksilön tulevan toiminnan ennustamisen mielessä kohdeyksilön toiminnan seuraamisessa ei ole (ehkä mitään) katkoja, Internetin käytön monitoroinnin lisäksi voidaan erilaisia teknologioita hyödyntäen kattaa monet muutkin tiedon ja datanharkintatarpeet.

Kuvassa 1 on eräs hienostuneemmista tekniikoista (sama algoritmina: http://jsfiddle.net/persilj/5d5BR), minkä avulla on ymmärrettävissä, että kyse ei ole vain "yksi havainto, yksi tietty ajatus" tyyppisestä altistumisesta, vaan jokainen havaittavaksi tarkoitettu asia valmistelee osaltaan useamman kuin yhden muun ajatuksen "valmistumista".

Ihmiset ovat ainakin jollain tasolla tietoisia minkälaisten uhkien toteutumisesta he itse eivät pitäisi, mutta tiettyä hankaluutta voi esiintyä muodostettaessa varmuutta siitä, pitääkö mahdollisena, että Suomen kattava internetinseurantajärjestelmä on jo olemassa ja päivittäisessä käytössä. Jopa Euroopan parlamentti (2001) on pitänyt "hämmästyttävänä ja jopa huolestuttavana" sitä, että "monet kuulluista yhteisön vastuuhenkilöistä, etenkin komission jäsenet, ovat ilmoittaneet, etteivät he olleet tietoisia tietyntyyppisen järjestelmän (yksityistä ja talouselämän viestintää sieppaavan maailmanlaajuisen Echelon sieppausjärjestelmän) olemassaolosta. [1]

pitää käytettävissä olevien viitteiden ja hyvin erilaisilta tahoilta, myös yhdysvaltalaisista lähteistä, saatujen samansuuntaisten lausuntojen perusteella oletettavana, että järjestelmästä tai sen osista on ainakin jonkin aikaa käytetty Echelon peitenimeä

Euroopan parlamentti ei kuitenkaan arkaillut esittää ounasteluja muiden mahdollisten sieppausjärjestelmien mahdollisuudesta: ottaa huomioon, että viestinnän sieppaaminen on tiedustelupalvelujen yleisesti käyttämä vakoilukeino ja myös muut valtiot voisivat pitää yllä vastaavanlaista järjestelmää, jos niillä on siihen riittävät taloudelliset ja maantieteelliset mahdollisuudet; katsoo Ranskan olevan ainoa EU:n jäsenvaltio, joka merentakaisten alueidensa ansiosta pystyisi maantieteellisesti ja teknisesti käyttämään itsenäisesti maailmanlaajuista sieppausjärjestelmää, ja lisäksi sillä on tähän tarvittava tekninen ja organisatorinen infrastruktuuri; ottaa myös huomioon runsaat todisteet siitä, että Venäjä todennäköisesti pitää yllä vastaavaa järjestelmää,

Suomessa esiintyi vuonna 2004 Soneran ohjelmointivirheeksi kutsuma ongelma, joka ilmeni Kalevan [2] mukaan siten, että TeliaSonera Finlandin sähköpostiasiakkaat saivat viime viikon lopulla erikoisia virheilmoituksia. Epäonnistuneen sähköpostilähetyksen yhteydessä saadussa virheilmoituksessa on ollut osoite echelon@sonera.inet.fi, mikä nimensä puolesta viittaa Yhdysvaltojen Echelon vakoilujärjestelmään.

Erään yksityishenkilön kooste hänen omista mielipiteistään tähän Soneran Echelon aiheiseen toimintaan löytyy verkosta:http://www.helsinki.fi/~vmkari/sonera echelon/Jos Suomessa haluttaisiin ottaa vaivihkaa käyttöön sellainen teleliikenteen seurantajärjestelmä,että se kattaisi edes sähköpostiliikenteen osittaisen seurannan (esim. jossain runkoverkon solmukohdassa) tai tiettyjen palveluntarjoajien sähköpostipalvelimilla sijaitsevien asiakassähköpostien luennan ja jopa poistamisen ja muokkaamisen vaadittaisiin siinä varmaankin monien ihmisten keskinäistä "ollaan hiljaa tästä" sopimusta, jottei järjestelmä paljastuisi. Tällaista mahdollisuutta ei liene perusteltua sulkea poiskaan? Sähköposti on viestintävälineenä siitä erikoinen, että vaikka lähetetyn sähköpostin tavataan ajatella olevan perillä samantien lähettämisen jälkeen, voidaan silti pitää aivan normaalina, että "joskus sähköpostilla vain kestää vähän pidempään se matka".Jos jollakulla taholla olisi edes sellainen vaikeasti todistettava tilaisuus käytössään, että hän voisi vaikkapa vain viivyttää jonkin tärkeän sähköpostin saapumista vastaanottajan tiedostettavaksi, voisi tällä viivytyksellä aiheuttaa merkittävää haittaa erilaisissa kriittisissä tilanteissa. Esim. kansanedustaja ei saisi ajoissa tietoonsa jotain asiakirjaa henkilöltä, jonka kanssa ei olisi aiemmin ollut tekemisissä, mutta lähettäjä olettaa, että sähköposti "meni perille". Tai jonkun IT alalle töihin hakeutuvan työhakemus katoaa mystisesti sähköisellä matkallaan.


Mediatiedotesivusto Cision Wiressä julkaistiin taannoin HP:n ja Cloud Security Alliancen tutkimusraportti pilvipalveluiden turvallisuusuhista. Näiden internetissä tarjottujen palveluiden ero SaaS-palveluihin (Software as a Service) on äärimmillään erittäin ohut ja mitä enemmän sitä eroa yrittää miettiä, sitä, Ron Millerin sanoin [linkki?], epäselvemmäksi se käy. Monet ovat vuorollaan yrittäneet asiaa pähkäillä. Turvallisuusuhat ovat pitkälti samoja ja tutkimuksessa mainittiin niistä muun muassa:

Selkeimmin SaaS-palveluiksi voidaan ajatella tai määritellä sellaiset palvelut, joilla on suhteellisen alhainen kuukausiperusteinen laskutus ja asiakkaaksi voi ryhtyä heti ilman pitkällisiä käsittelyprosesseja ja siitä aiheutuvia viiveitä. Käyttäjätunnuksen rekisteröinti on mutkatonta ja SaaS-palvelun testikäyttöön on usein esim. 30 päivän mittainen aika, jonka jälkeen tai sen aikana voi valita maksullisen palvelun. Maksuperusteena voi olla kuukausilaskutus, palvelun käytön määrästä riippuva hinta tai valituista ominaisuuksista kertyvästä kustannus. Esimerkkinä erilaisten kaavioiden piirtelyyn tarkoitettu Creately (hintahaitari 4.95 - 9.95 USD per kk).

Keskiraskaan sarjan SaaS-palveluista esimerkkinä toimii hyvin vaikkapa lappeenrantalaisen Severan toiminnanohjausjärjestelmä Severa 3. Hinnat alkaen 25 euroa kuussa, 30 päivän ilmaisella testijaksolla. Sen sijaan Timmi Software Oy:n tilanvarausjärjestelmä Timmi ei ole SaaS-kriteereitä täyttävä, koska sitä ei voi tilata ja ottaa käyttöön sillä minuutilla, kun tekisi mieli. Sekin on kuitenkin internetin yli käytettävä palvelu, joka on käytössä monessa suomalaisessa organisaatiossa.

Jos kysyttäisiin Tietoyhteiskunnan kehittämiskeskus ry:ltä (TIEKE) miten SaaS määritellään, niin vastaus voisi edelleen olla: "SaaS tarkoittaa nimensä mukaisesti sitä, että asiakas ostaa ohjelmiston kokonaispalveluna sisältäen sovellus , käyttökeskus sekä ylläpitopalvelut tuotettuna julkisen verkon kautta." TIEKE ei mainitse viitatussa tekstissä mitään palvelun hetisaatavuudesta, minkä nojalla mainittu Timmi tuotekin sopisi mukaan.

Lisäsekavuutta termien käyttöön tuo sekin, että kun puhutaan tiedon (kuvat, dokumentit..) tallettamisesta johonkin Internet palveluun, tavataan yleisesti viitata vain johonkin pilveen (Internet tavataan kaavioissa kuvata pilvenmuotoisella symbolilla). Kun pilven yhteyteen lisätään sana laskenta, saadaan aikaiseksi selkeämpää eroa SaaS-palveluihin, sillä pilvilaskennan (eng. cloud computing) käyttäjänä on yleensä toinen tietokone tai kokonainen tietojärjestelmä; SaaS-palvelut tarjoavat käyttöliittymän, jota ihminen käsittelee suoraan suorittaakseen tarjolla olevia toimintoja.

Asiakkaan hyötynäkökulmasta tarkasteltuna kaikille mainituille palveluiden muodoille on yhteistä hyöty nopeasta ja helposta käyttöönotosta, ilman omien laitesalien rakentamisen tarvetta, mikä näkyy siinä, että he voivat välttää taloudellista riskiä kasvattavia suuria aloituskustannuksia.

Palveluntuottajan kannalta tarjotun palvelun päivittäminen on helpompaa ja hallitumpaa, koska asiakkailla on aina tuoreimmat versiot ja samat versiot käytettävissään, eikä täten tuotetuenkaan tarvitse hallita yksityiskohtaisesti jokaisen joskus aiemmin käytössä olleen version erityisominaisuuksia ja mahdollisia virheitä. Palvelun ominaisuuksien laajentaminen käy täten ketterämmin ja pikkuvirheet on mahdollista korjata samantien, ilman tietylle ajankohdalle ajoitettuja julkaisuajankohtia odottelematta.

Palveluntarjoajan tarjoaman tietojärjestelmän kannalta on tärkeää, että palvelu kykenee skaalautumaan eli käyttäjämäärien kasvaessa sen täytyy toimia asiakastyytyväisyyttä häiritsemättä. Globaalisti verkottuneella Maapallolla uusien käyttäjien ryöppy saattaa yllättää, jos palvelu tulee saaneeksi hyvänlaatuista julkisuutta jossain alan laajalti seuratussa julkaisussa kuten vaikkapa Slashdotissa tai TechCrunchissa. Asiakkaan on myös melko lailla mahdoton tietää, mikä on palveluntarjoajan kyvykkyys suojata asiakkaan tiedot ongelmatilanteissa, kuten levyrikkojen tapauksessa tai tietoturva aukon kautta mellastavan krakkerin saapuessa. Ei valitettavasti ole ollenkaan tavatonta, että pienillä resursseilla toimivien palveluiden kaikki asiakkaiden tallentamat tiedot tuhoutuvat siinä yhteydessä, kun levyrikon sattuessa on huomattu, että ainoa varmuuskopiokin on jostain syystä korruptoitunut.

Resurssien laajuutta ei aina voi arvioida ulkoisesti havaittavista asioista käsin. Esim. eräällä tiedostojen talletuspalvelulle oli sinänsä vaikuttavan oloinen tekijätiimi, jolla hyviä aiempia meriittejä, mutta silti sen kanssa kävi niin (kirjoittajalle), että palveluun tallennettuja tiedostoja tuhoutui (joko niitä siirrettäessä tai palvelussa sijaitessaan, mistä seurasi, että zip-paketit eivät enää auenneet kun niitä myöhemmin tarvitsi). Toisen palveluntarjoan kanssa ei omiin tiedostoihin päässyt käsiksi, koska ei voinut maksaa kuukausimaksua rikkinäisen maksujärjestelmän vuoksi. Ylläpitävä taho kertoi useaan kertaan tehneensä jonkin pienen muutoksen, jonka olisi pitänyt korjata tilanne, mutta mikään ei käytännössä ollut muuttunut. Puolisen vuotta myöhemmin ko. yritys siirtyi kokonaan palvelemaan kuluttaja asiakkaiden sijaan pelkästään yritysasiakkaita.

Juuri parahiksi ennen Where 2.0 -konferenssin päättymistä O'Reillyn tutkijat Alasdair Allan and Pete Warden julkaisivat iPhonen tallettamiin sijaintitietoihin liittyvän löydöksen, josta nousi tietyissä kapeissa rajoissa pysytellyt meteli uutismedioissa ja blogeissa. Se mikä tässäkin hälinässä jäi täysin käsittelemättä, oli ICT-alan yrityksien laadunvalvontaprosessit.

Kyse on siis älypuhelimessa sijaitsevasta tiedostosta, johon tallettuu lähimpien 3G-tornien perusteella arvioidut sijaintitiedot. Tämä tiedosto tallettuu myös tietokoneelle, johon asennetun iTunes ohjelmiston kanssa laite synkronoituu ja siinä samalla varmuuskopion tekee. Tämä logitieto ei pyyhkiydy vanhimpien tietojen osalta pois.

Verkossa, hieman "pintakerrosta alempana" esiintyneen keskustelun perusteella voidaan havaita, että asia on ollut tietoturvaskenen tiedossa jo pidempään, eikä sinänsä ollut varsinaisesti yllättävä asia. Alex Levinson kertoi blogissaan, että mainitun logitiedoston olemassa olosta ja saavutettavuudesta on kerrottu edellisvuoden puolella kirjassa iOS Forensic Analysis (Apress).

Medialle tämä on ollut helppo aihe, sillä talletettujen sijaintitietojen visualisoiminen on varsin havainnollistava keino, toimii erinomaisesti huomionkiinnittäjänä ja näiden tietojen käytettävyys on kaikkien ymmärrettävissä ainakin jollain tasolla. Esimerkkinä tästä The New York Timesin blogisti (Pogue's Posts), joka sai otsikoinnillaan "Your iPhone Is Tracking You" sekä kiteytettyä näppärästi monen ihmisen jakaman asenteen ("so what"), että hyödynnettyä sanan "tracking" uhkaavuuden.

Google ehti jo omalta osaltaan vastaamaan julkisesti huoliin käyttäjien sijaintiedoista, toteamalla, että Android-laitteiden keräämä sijaintidata, jota ei siis lähetetä minnekään ilman käyttäjän lupaa ja josta laite itse säilöö vain vähän viimeisiä merkintöjä, olevan välttämätöntä tietynlaisten sijaintiapplikaatioiden luomiseksi. Apple ei ilmeisesti vielä ole ehtinyt kommentoida asiaa omalta osaltaan, mutta vaatimuksia selvyyden saamiseksi on esitetty "korkeita tahoja myöten".

F-securen blogissa tiedettiin kertoa, että sijaintiedot eivät jää pelkästään käyttäjän iPhone-laitteeseen tai tietokoneelle tallettuvaan varmuuskopioon, iTunesiin synkronoitaessa, vaan tieto menee aina Applelle saakka, jos on tullut ruksanneeksi osallistumisensa laitteen käyttötietojen anonyymiin luovuttamiseen Applelle. Computer Worldin blogissa muistetaan, että kirjalliset suostumukset ovat usein "semantiikkapeliä" eli täten esim. kiellettäessä se mahdollisuus, että käyttäjää tietoisesti jäljitettäisiin, ei suljeta pois sitä vaihtoehtoa, että tietoa kuitenkin kerätään.

Se mikä on tällaisten asioiden uutisoinnissa erityisen pikanttia, ihan joka kerta, on se, että mahdollisesti mikään taho ei käy ruotimaan tilanteen aiheuttaneen organisaation (tässä siis Apple) laadunvalvontaa ja testausprosesseja. Tässäkin tapauksessa asiaa on käsitelty pääsääntöisesti siten, että Apple ajatellaan ikään kuin jonkinlaisena oliona, jonka sisään ei näe, jolloin argumenteissa arvioidaan Apple olion aikomuksia ("Applen tarkoituksena on saaattanut olla.." tai "Apple on harrastanut tällaista ennenkin.."). Voisi kuvitella, että ICT-alaan erikoistuneissa julkaisuissa tohdittaisiin mennä asiaan hiukan syvemmälle ja jostain enemmän originelleista kulmista, mutta näin ei ole. Olisi mielenkiintoista lukea vaikkapa jonkun projektipäällikön arviointeja jonkin toisen yrityksen laadunvalvontaprosesseista kuin missä itse työskentelee. Tai vaihtoehtoisesti jonkun IT-alan suuryrityksen palkkalistoilla työskennelleen koodarin kokemuksista liittyen ohjelmistotuotannossa esiintyvien bugien käsittelyyn.

Computer Worldin toimittaja Ryan Faas kertoi eräässä vaiheessa tapauksen käsittelyä, että kyse tiedon ylenmääräisessä tallettamisessa olisi bugista, mutta tätä tietoa ei kovin nopeasti vahvistettu (myöhemmin kylläkin). Bugin olo ja se, että asia nousi julkisuudessa pintaan niin kovin hitaasti, jättää avoimeksi mahdollisuuden, että bugi voisi olla kumpaa hyvänsä seuraavista: erheen kautta jäänyt tai tahallaan lisätty. Onhan esim. ilmennyt (CarrierIQ:n tapaus), että tiettyjen älypuhelinten tallettaessa liikaa monenlaista erilaista tietoa lokitietoihin, kyse oli kerrotun mukaan siitä, että useiden laitteiden valmistajilta oli unohtunut debug asetus päälle, joka olisi käytännössä yksi ohjelmallinen kytkin konfiguraatiotiedostossa. Miten sellainen virhe voi tapahtua useille eri toimijoille?

Olisikin mielenkiintoista tietää, miten laadunvalvonta toimii Applessa eli kuinka monien ihmisten kautta mikäkin asia kulkee. Varmaankin sellainen laadunvalvonnan osatekijä heillä on käytössään, että kaikki tuotettu ohjelmistokoodi on aina jonkun nimissä tehtyä ja koodin tarkastajien nimet helposti löydettävissä, joten ihan kuka tahansa yksittäinen insinööri ei voisi lisäillä omaa koodiaan täysin vapaasti.

Sinänsähän tämä sijaintitietojen tallennus helposti luettavaan logitiedostoon ei aiheuta varsinaista uhkaa kenellekään sellaisenaan, mutta jos logitieto siirtyy iTunesin kautta myös Windowsiin, olisi tuo logitiedosto kaapattavissa koneelta siinä missä kaikki muukin tieto - jos se ei ole riittävän hyvin suojattu.

Toisinaan ei voi olla varma siitä, onko joku kiusaavaksi luonnehdittava taho pelkästään käyttänyt hyväkseen jotain tietoturvassa ilmennyttä vajetta jossain verkkopalvelussa aiheuttaakseen haittaa jollekin tietylle ihmiselle, vai onko kyse myös tai yksinomaan palveluntarjoajan (tai sen yksittäisen työntekijän) suorittamasta haitanteosta. Seuraavassa esimerkkejä erityyppisestä haitanteosta, jonka tietynlaisen verkkopalvelun käyttö tai olemassa olo on mahdollistanut.

Tapaus 1, puolalainen erotiikkayhteisö. Tämän sivuston tietokantaan oli syötetty siementietona mm. eräs kirjoittajan sähköpostiosoitteista, mikä kävi ilmi siitä, että sieltä alkoi tulla useita kertoja viikossa viestejä siitä kuinka n määrä "samanhenkisiä, profiiliin sopivia ihmisiä" haluaisi keskustella. Sivuston ylläpito ei vastaa tiedusteluihin ja tämän ilman lupaa luodun tunnuksen poisto ei ole mahdollista. Jos sivustolla käyttää "palauta salasana" toimintoa, se kertoo selaimessa, toiminnon käyttämisen jälkeen, että uusi salasana on lähetetty kirjoittajan käyttämään sähköpostiosoitteeseen (osoite näkyvissä), mikä olisi tietenkin kätevä keino osoittaa (jonkun kolmannen osapuolen tekemänä), että kirjoittaja itse olisi itse rekisteröitynyt juuri kyseisenlaiselle sivustolle. Siitä ei ole tietoa, onko joku käyttänyt tällaista mahdollisuutta, sillä ei voi olla varma, ovatko salasanapalautusviestit menneet automaattisesti tyhjentyvään roskapostikansioon - olettaen, ettei välissä ole tahoa, joka kykenee suodattamaan saapuvia sähköposteja ennen kuin ne saapuvat Googlen palvelimille ja ettei tämän puolalaisen erotiikkayhteisön ylläpito ole itse koodannut omaan sähköpostinlähetysjärjestelmäänsä joitain ylimääräisiä ehtolausekkeita. Sivusto vaikuttaa ilmestyneen verkkoon vasta äskettäin, ikään kuin se olisi generoitu jonkin valmiin materiaalin pohjalta semiautomaattisesti, samalla joihinkin blogeihin linkkejä siitä ripotellen.

Tapaus 2, newyorkilainen verkkoyhteisö. Kirjoittaja ei ole käyttänyt ko. sivustoa ainakaan neljään vuoteen, eikä ole muutenkaan ollut siellä erityisen aktiivinen, mutta on saattanut joskus aiemmin todistaa henkilöllisyytensä luottokorttitiedoilla. Sivusto on laadukas ja on ollut olemassa ainakin viimeiset kymmenen vuotta. Erään vuoden marras- ja joulukuussa luottokorttia oli laskutettu 12.95 USD:n edestä. Aluksi ei ollut varmaa kuka laskuttaja oli, sillä tiliotteella näkyi vain yksi sana rahansaajan kohdalla. Nordean asiakaspalvelusta varmistui, että kyse oli New Yorkissa toimiva yritys, mutta osoitetietoa Nordealla ei ollut saatavilla. Tämä newyorkilainen taho vastasi sähköpostitiedusteluun ja kertoi lopettavansa jatkoveloitukset, muttei kuitenkaan ottanut kantaa poikkeavaan kahden kk:n laskutukseen.

Tapaus 3, suomalaisessa mediassakin mainostanut kansainvälinen deittisivusto. Tälle sivustolle oli myös perustettu tunnus kirjoittajalle ilman, että on itse sen luomiseen mitenkään osallistunut. Erotiikkasivustot vielä jotenkin kestää, mutta tässä tapauksessa profiiliin oli laitettu, että seuranhakijana olisi 14 vuotias mies, joka etsii 13 - 15 vuotiaita poikia seurustelukumppaneiksi. Profiili oli luotu jo useita kuukausia sitten siitä kun ensimmäisen kerran sähköpostiin tieto tunnuksen olemassa olosta saapui. Ensimmäisen sähköpostiviestin jälkeen kumppania hakevien viestien määrä roihahti kymmeniin per päivä ja sitten se taas yhtäkkiä tyrehtyi - kuin säätimestä säätämällä. Tässä herää kysymys siitä, voisiko joku ylläpitävä tai moderoiva taho asettaa profiilin sisällön joksikin aivan muuksi jonkin tietyn aikaikkunan ajaksi, jolloin ei itse ole katsomassa? Kirjainsarjojen ja numeroiden muuttaminen tietokannasta on kuitenkin vain muutaman sekunnin vievä toimenpide, josta ei välttämättä jää mitään jälkiä mihinkään ylläpitävän tahon logiin.

Jos tilanne on se, että joku on päässyt edes joksikin aikaa siihen asemaan, että hän pystyy etäkontrolloimaan tai monitoroimaan Android-käyttöjärjestelmällisen tablet laitteen toimintaa, ns. pöytätietokoneen Windows-käyttöjärjestelmän toimintaa tai ADSL-modeemin kautta kulkevaa tietoliikennettä, mahdollistaa tämä käytännössä äärettömän paljon erilaisia vaihtoehtoja häirintään. Kontrolloitavuuden ei välttämättä tarvitse olla täydellistä, vaan siitäkin on runsaasti riesaa, jos voi suorittaa joitain tiettyjä rajoitettuja toimenpiteitä tietyllä tarkalla ajoituksella. Tällaisten toimenpiteiden syytä voi olla vaikea todistaa sen toimesta, jolle on kohdistettu, sillä esim. kovalevyn käynnistyminen, hiiren pointterin poikkeava liikahtelu tai tietokoneen "kaatuminen" ikään kuin kuuluvat tietokoneen normaaliin toimintaan.

Kirjoittajalle itselleen on käynyt melkein kaikkien ostettujen tietokone- ja mobiililaitteiden kohdalla siten, että monen laitteen kohdalla on ilmennyt jonkinlaista vaihtumista, mutta siitä sinänsä on vaikea johtaa suoraan mitään varmaa näkemystä. Esimerkkeinä: tietokoneen emolevyn kotelosta puuttui emolevy, tablet laitteeksi tuli mustan värinen, vaikka tilasi valkoisen, monitori meni huoltoon pari päivää ostamisen jälkeen, jne. Käytännössä todistettavuus muodostuu tilastollisten epätodennäköisyyksien kautta, mikä voi olla hankala pukea sanallisten selityksien muotoon. Esim. hiiren pointterin "valumisen" johonkin suuntaan voi vielä ymmärtää normaalina ilmiönä, mutta sitä ei niinkään, että se tekee kaarroksia. Seuraavassa kolme esimerkkiä poikkeavasta tietokone- ja mobiililaitteiston toiminnasta.

Tapaus 1. Hetken aikaa ulkona oltua tai muuten jätettyä toviksi verkon selailuun käytettävissä olevia laitteita sellaiseen paikkaan, jossa niitä ei suoraan ole havainnoimassa, on takaisin tullessa ollut esillä jokin verkkosivusto, jossa ei itse ole käynyt, eikä siihen ole suoraan linkkiä niiltä sivuilta, joilla hetki sitten on saattanut olla käymässä. Tätä on tapahtunut eniten pöytätietokoneen kohdalla, mutta vasta sitten kun samaa alkoi tapahtua myös Android-pohjaisen tablet laitteen kohdalla (Samsung Galaxy Tab 10.1, käyttöjärjestelmän versio 3.1), joka perustuu Linuxiin, sekä älypuhelimen kohdalla (Samsung Galaxy S, käyttöjärjestelmän versio 2.3.3), alkoi nousta suurempi huoli siitä, kuinka mobiilejakin laitteita voidaan ottaa luvattomasti etäkäyttöön ja tehdä niillä salaa melkein mitä vain (riippuu käyttäjäoikeustasoista ja siitä tultiinko "laitteeseen sisään" jonkun asennetun sovelluksen kautta eli onko sovelluksella itsellään riittävästi oikeuksia suorittaa komentoja).

Tapaus 2. Kirjoittajan kehitellessä sosiaaliseen kuvanjakopalveluun, Flickriin, vaihtoehtoista Android-laitteille tarkoitettua hakukäyttöliittymää, ilmeni kymmeniä kertoja sovelluksen testaamisen yhteydessä sitä, että tehdessä testihakuja tietyillä hakusanojen yhdistelmillä, alkoi aina muutama minuutti uuden hakusanayhdistelmän käyttämisen jälkeen ilmetä hakutuloksissa erilaisia raakuuksia, kuten tapettua kettua tai gorea, vaikka hakusanoina olisivat olleet varsin neutraalit hakusanat kuten "fractal" ja "colorful". Tätä tapahtui niin usein, että todennäköisyys "luonnolliselle" selitykselle ei tuntunut sopivalta, jolloin ainoaksi mahdollisuudeksi tuntui jäävän se, että jonkun tai joidenkin on ollut mahdollista seurata tietoverkkoliikennettä ja saamansa tiedon perusteella lisätä nopeasti Flickriin jotain töykeällä tavalla ärsyttävää ainesta.

Tapaus 3. ADSL-reititin on alkanut menemään näennäisesti jumiin täsmälleen kotona tietokoneella tehtyjen työtehtävien suorittamisen jälkeen (eräänlaisessa ajatuksellisessa saumakohdassa). Vaikka olisi edelliset 3 - 4 tuntia käyttänyt runsasti Internettiä, niin vasta sitten kun on lopettamassa töitä siltä erää, reitittimen kautta ei enää pääse minnekään verkkosivustolle ennen kuin sen kertaalleen sammuttaa ja uudelleenkäynnistää. Tällaisen häirinnän ajoittaminen vaikuttaa mahdottomalta, ellei pysty seuraamaan sekä tietoverkkoliikennettä, että myös sitä, mitä monitorin ruudulla tapahtuu.

Mobiililaitteiden kohdalla eräänä mahdollisuutena on, että laitteiden firmwaret ovat jotenkin vaihtuneet malicious-tyyppiseen (väärennettyyn ja kustomoituun), mutta se vaatisi sen, että laitteiden toimitusketjuissa olisi vakavia puutteita. Jos mobiililaitteiden firmware on muutettu, voisi se mahdollistaa senkin, että vaikka laitteet näennäisesti olisivat pois verkosta (ledivalon indikoidessa sitä), niin näin ei välttämättä olisikaan, vaan siihen saisi silti yhteyden verkon yli. Tämä tekisi päätelmien tekemisestä huomattavasti hankalampaa, koska arkijärki antaisi olettaa väärin.

Esimerkkejä reititin laitteiden tietoturvaongelmista, jotka ovat ainakin jossain vaiheessa laitteiden elinkaarta (ennen mahdollista firmware-päivitystä) olleet läsnä ja vilpillisten ihmisten hyödynnettävissä:

D-Link Router UPNP Stack Overflow
A remote stack overflow exists in a range of wired and wireless D-Link routers. This vulnerability allows an attacker to execute privileged code on an affected device. When a specific request is sent to an affected device, a traditional stack overflow is triggered allowing an attacker complete control of the router. With the ability to execute code on the device, it is then possible to apply modified firmware, and ultimately compromise the entire network.

Zyxel Zywall 2 Multiple Vulnerabilities
During an audit of Zyxel Zywall 2 it was discovered that a cross site request forgery and persistent cross site scripting vulnerability exists in the management interface. Thus, it is possible for an attacker to perform any administrative actions in the management interface, if a logged in/authenticated user has been enticed to visit a malicious web site. These actions include e.g. changing DNS server address or other security critical configuration items.

Prestige 650R ADSL Router DoS
An undocumented feature in D-Link DSL routers allows (in some cases) to bypass the authentication prompt and gain full access to the router, and then to the network behind it.

Yrityksillä ei tyypillisesti, edelleenkään, ole rohkeutta kertoa heihin kohdistuneista tietomurroista - koska sitten he ainakin saisivat lisää samaa osakseen, olettamansa mukaan, minkä voi tulkiten nähdä käyvän ilmi mm. raportissa "Tietoturvan tila Suomessa" (vuodelta 2006) mainitusta vastausprosentista: "Suoritetulla tutkimuksella [pk-yritysten tietoturva] on joitakin heikkouksia: kyselyn vastausprosentti oli alhainen (12,4 %)."

Asiasta ei ole helppo saada aikaiseksi keskustelua vapaakäyttöisillä verkon keskustelufoorumeillakaan, olettaen, että keskustelufoorumi on jonkin muun aiheinen kuin ICT-alan johonkin osaan liittyvä. Jos kysyy esim. "Kuinka korkealla on kynnyksesi kertoa jollekin toiselle ihmiselle, että epäilet jonkun käyttävän tietokonettasi Internetin kautta? Mikä vaikuttaisi tämän kynnyksen korkeuteen?", ei välttämättä kannata olettaa kovin runsasta tai syvällistä keskustelua aiheesta, sillä se koetaan liian henkilökohtaisuuksiin meneväksi. Sen sijaan hieman avoimempi kysymys kuten "Minkälaisia uhkia uskot tulevaisuudessa esiintyvän?" on helpompi, koska siihen voi vastata melko helposti jotain mielikuviteltua, liikoja itsestään paljastamatta. Ei kuitenkaan kannata olettaa liikaa ennakkoon etteikö esim. kiihdytysajoneuvoja käsittelevällä foorumilla (tai julkisella Google+-piirillä tai Facebook-ryhmällä) voisi yllättäin olla enemmän ja syvällisempää kerrottavaa kuin erityisesti tietotekniikkaan keskittyneessä paikassa.

Pääsääntöisesti ihmiset eivät kuitenkaan juurikaan ilmaise huolehtuneisuuttaan tietoturva-asioista kuin lähinnä silloin, kun joku valtakunnan uutismedioista jonkin asian esille nostaa, mikä taasen rajoittaa melko suurestikin sitä, minkälaiselle tietoturvauutisoinnille ihmiset altistuvat. Toisinaan (ei usein) tietoturva-aiheita on käsitelty ajallisesti suhteellisen pitkään esim. YLEn Aamu TV:ssä, mikä voi jättää pitkäänkin kestävän tietämyksen tietoturva-asioista liittyen esim. siihen, miten jokin tietoturva-asia on hoidettu jossain naapurivaltiossa, mutta sellainen muu tietoturvauutisointi, joka tuntuu henkilökohtaisesti vaikuttavalta, liittyy melko rajattuun joukkoon tietoturvauhkan lajeja (esim. huijauskirjeet sähköpostissa tai verkkopankkitunnusten kalastelu).

Reitittimen välimuistin ylivuodot (eng. buffer overflow) tuntee melko harva suomalainen itseensä läheisesti liittyväksi, koska ei ymmärrä, mitä se tarkoittaa, vaikka nuo sanat olisivatkin jostain mieleen jääneet. Juuri se, että näistä asioista on melkeinpä aina pakko keskustella tietoturva-alan omin termein, asettaa hyvin korkean kynnyksen tietoturvauhkien todelliselle ymmärtämiselle; joitakin asioita ei voi ymmärtää ennen kuin on sitä ennen sisäistänyt hyvin jotain muuta asiaan liittyvää.

Seuraavassa muutama esimerkki siitä, minkälaista haittaa voisi aiheutua tavalliselle kotikäyttäjälle, jos

a) hänen reitittimensä, jonka kautta hänen tietokoneensa on liitetty Internetiin, voitaisiin ohittaa kuin siinä ei mitään palomuureja tai muita suojauksia olisikaan (Internetistä pääsisi suoraan kiinni ko. tietokoneeseen) ja
b) hänen Windows-käyttöjärjestelmänsä olisi tietoturvan osalta päivittämätön tai siihen olisi entuudestaan murtauduttu ja jätetty siihen jokin takaportti, jonka kautta saa helposti täydet käyttäjäoikeudet kyseiseen tietokoneeseen (käyttöjärjestelmätasolla).

Esimerkki 1: Tietokoneen käyttäjä käyttää tietokoneensa tekstinkäsittelyohjelmaa kouluun/opiskeluun liittyvien harjoitustehtävien tuottamiseen. Tietokoneen kovalevyllä on oma tiedostokansionsa näitä tiedostoja varten ja hän ottaa siitä kerran viikossa varmuuskopion USB-muistitikulleen - uusi varmuuskopio korvaisi tässä tapauksessa vanhemman (zip-paketti). Kirjoituksia olisi kertynyt jo viitisenkymmentä, mutta viimeisen kuukauden aikana hän ei olisi käsitellyt niistä kuin ehkä neljää tai viittä. Ilkeämielinen etäkäyttäjä voisi aiheuttaa pienestä haitasta suureen tuhoon tekemällä muutoksia näihin vanhoihin tiedostoihin (kovalevyllä oleviin). Hän voisi poistaa lauseen sieltä, korvata sanan tuolta tai korvata koko kirjoituksen sisällön sanalla "muffaffaa" (niin monta kertaa, että tiedoston koko säilyisi suunnilleen samanlaisena). Ilkeämielinen etäkäyttäjä voisi tehdä pieniä muutoksia myös uusimpiin, vasta ihan hetki sitten käsiteltyihin kirjoituksiin, vaihtamalla niissä esiintyviin ilmauksiin jotain mikä muuttaa ilmaisun merkitystä. Useimmat käyttäjät selittäisivät oudolta tuntuvan muutoksen syyttämällä itseään ajatusvirheestä - olettaen, että huomaisivat muutoksen. Kuvittele mitä haittaa tällaisesta voisi olla virallisissa kirjeissä, joissa on tärkeää, että virheitä ja outouksia ei esiinny yhtään.

Esimerkki 2: Tietokoneen käyttäjä huomaa toistuvasti jätettyään tietokoneen päälle ja ulosmentyään, että takaisin tultuaan, että joku on ottanut hänen tietokoneensa etähallintaan, availlen uusia ohjelmia ja käyden erilaisilla verkkosivuilla - jopa kirjautuen tietokoneen omistajan käyttäjätunnuksilla johonkin verkkopalveluun (selain asetettu tallentamaan lomakkeiden tiedot, jolloin ei välttämättä tarvitse tietää salasanaa voidakseen kirjautua johonkin palveluun).

Esimerkki 3: Jos luvattomalla etäkäyttäjällä on täydet käyttäjäoikeudet tietokoneesi käyttöjärjestelmään, hän voi asentaa siihen sellaisia taustaohjelmia, jotka luovat siihen virtuaalisen työpöydän, jolla tehdyt asiat eivät näy tietokoneen varsinaiselle käyttäjälle mitenkään, vaan hän näkee vain oman normaalin työpöytänsä. Tällä piilotetulla virtuaalisella työpöydällä voitaisiin ajaa salassa erilaisia asennettuja ohjelmia, joka ei ilmentyisi muuten kuin siten, että tietokoneen kovalevy vaikuttaa pitävän normaalia enemmän ja useammin ääntä. Käytännössä luvaton etäkäyttäjä voisi käyttää nettiselainta käydäkseen rekisteröitymässä joillekin "arveluttaville verkkosivuille", kohteena olleisiin palveluihin tallettuen kyseisen tietokoneen IP-osoite. Siinä samalla etäkäyttäjä voisi suorittaa myös jonkinlaisen tietoverkkorikoksen esim. lataamalla tai tuottamalla käyttäjän koneelta verkkoon sellaista materiaalia, joka olisi jonkin lain mukaan rangaistava teko, mikä voisi eräässä pahimmista tapauksista johtaa vääriin syytöksiin.

Verkkoliikenne kulkee Internetiin liitetystä laitteesta useiden reitittimen kautta, joista kotikäytössä ensimmäinen on omissa asuintiloissa (esim. integroituna ADSL-modeemiin) ja kerrostalojen tapauksissa seuraava on jossain erillisessä tilassa, jonka kautta kaikkien talon asuntojen verkkoliikenne kulkee ennen kuin jatkaa matkaansa internetpalveluntarjoan tiloihin, mahdollisesti välillä jonkin vahvistimen kautta kulkien.

Jos yksittäisen kerrostalon muodostamaan taloverkkoon on liitetty useita koneita, on tuo verkko tapana pilkkoa pienempiin osiin, virtuaalisiksi lähiverkoiksi (Virtual LAN), joihin jokaiseen on liitettynä vain osa koko taloverkkoon liitetyistä tietokoneista. Lähtöolettumuksena on, että nämä virtuaaliset lähiverkot eivät "keskustele" keskenään (niihin kuuluvat laitteet eivät pääse tietoiseksi toisessa virtuaalisessa verkossa olevista laitteista). Tämä lähtöolettamus perustuu tiettyihin stardardeihin, joiden pohjalta laitteet on rakennettu, mutta siitä ei voi olla varma, onko laitteet konfiguroitu oikein tai onko laitteissa itsessään jokin ohjelmallinen vika. Jos kaikki toimii ideaalisesti, ei edes samassa virtuaalisessa verkossa olevien tietokoneiden pitäisi pystyä "keskustelemaan keskenään" niiden ollessa toisistaan kytkin laitteella erotettuja.

Verkkoliikennettä on kuitenkin mahdollista ohjata huijaamalla se kulkemaan väärien reitittimien (eng. roque router) kautta, jolloin sitä kautta kulkevalle tietoliikenteelle voidaan haluttaessa tehdä suodatuksia tai jopa muutoksia, minkä jälkeen tuo verkkoliikenne (muokattu ja eteenpäin päästetty osa) jatkaa matkaansa normaaliin päämääräänsä. Tätä kutsutaan myös "Man In The Middle" hyökkäykseksi.

The SANS Instituten paperissa "Virtual LAN Security: weaknesses and countermeasures" [1] vuodelta 2003 luodaan pitkä silmäys virtuaalisen lähiverkon arkkitehtuuriin kohdistuvaan hyökkäykseen, mistä käy ilmi, että virtuaaliset lähiverkot pystyvät sittenkin keskustelemaan toistensa kanssa, vaikka näin ei pitäisi olla. Ote paperin abstraktista:

"Many architectures use Virtual LANs, on their switches, to separate subnets from each other on the same network infrastructure. It is commonly assumed that Virtual LANs are fully isolated from each other. During the Blackhat conference 2002, a presentation from Sean Convery (CISCO) demonstrated ways of sending packets across VLANs."

Varsinaisen laiteidentiteetin väärentämistä verkossa on hankala popularisoida ja täten selittää yleisesti ymmärrettävästi, koska asian ymmärtäminen vaatii jonkin verran alan termistön tuntemista. ARP-huijaus (eng. ARP spoofing) [2] on nimitys eräällä niistä tekniikoista, joilla tällaisen identiteettihuijauksen voi toteuttaa. Yleisesti ottaen siinä olisi (tässä tapauksessa) tarkoitus assosioida "välimiehen" reitittimen MAC-osoite (jokaisella verkkoon liitetyllä laitteella uniikki tällainen) verkon yhdyskäytävän IP-osoitteeseen (reitti virtuaalisesta taloverkosta ulkoiseen verkkoon), jolloin datapaketit alkavat kulkea varsinaisen yhdyskäytävän kautta toisen laitteen kautta.


Suomalaiset on opetettu ajattelemaan, että internetissä kulkee niin paljon dataa, että jo sen vuoksi mikään tai kukaan ei pysty sitä kontrolloimaan. Todellisuudessa data kulkee moneltakin osin tiettyjä samoja reittejä pitkin, riippumatta esim. siitä, käyttääkö kannettavaan tietokoneeseen liitettyä langallista yhteyttä vai älypuhelimensa langatonta yhteyttä. Android-älypuhelimen omistajat voivat todeta esim. sovelluksien CellID Info tai GSM Signal Monitoring avulla, että tietyllä melko laajalla ja väljästi tornitetulla alueella laite ottaa usein (ellei jopa aina) yhteyden tietyn saman tornin kautta (verkon rakenteessa eroja EDGEn ja UMTS:n välillä), jolla on myös oma vakioitu CellID-koodinsa. Tornista eteenpäin data kulkee monin paikoin vakioituja reittejä ennen kuin se saavuttaa varsinaisen määräpäänsä. Ajateltakoon tässä vaikkapa Internet-selaimen käyttöä, jossa selaimen käyttäjä esittää pyynnön hakea tietty sivu esille. Käytännössä siirretyn datan (langallisesti ja langattomasti) mahdolliset kulkureitit lisääntyvät vasta tietyn "vyöhykkeen" jälkeen eli vasta sitten, kun kun on päästy asunnosta palveluntarjoajan tiloihin ja sieltä eteenpäin. Jos ei kohdepalvelin aivan lähitienoilla sijaitse, tulisi data jossain vaiheessa kulkemaan Ficixin runkoverkossa (Suomessa) ja Eurooppaan suuntautuessaan EURO IX:n liityntäpisteiden kautta.

Suuren datamäärän käsittelyyn jossain tietyissä liityntäpisteissä pystytään nykyisin melko hyvinkin, päätellen esim. siitä, kuinka helposti ja nikottelematta 15 % koko Internetin tietoliikenteestä saatiin kulkemaan kiinalaisen Internet infrastruktuurin kautta 18 minuutin ajaksi (marraskuussa 2010), mistä voi vähintään sen todeta, ettei nykyteknologia tule esteeksi tällaiseen massiiviseen reitiltä poikkeuttamiseen ja kaiken uuden reitin läpi kulkeneen datamäärän sellaisenaan siirtämiseen. Se ei ole varmaa, oliko tässä 18 minuutin kestoisessa datan imemisessä ja normaalisti edelleen välittämisessä kyse Kiinan valtion toteuttamasta tempauksesta, mutta siinä oli joka tapauksessa pelattu algoritmeilla, jonka mukaan Internet reitittimet valitsevat parhaan reitin eri vaihtoehdoista tiettyihin kriteereihin perustuen.

Tietoverkoissa kulkevan datan suuntaa muuttavien pisteiden (eng. node) kautta kulkevan datan reaaliaikainen analysointi on haastava tehtävä vaadittavan tallennuskapasiteetin vuoksi. Jos kyse olisi arkistodatasta, joka ei muutu jatkuvasti, voisi käyttää tiedon kompressointia tai deduplikointia, joista jälkimmäinen tarkoittaa samana toistuvan tiedon eliminointia, mutta tiedonkäsittelyn hitaus voisi muodostua esteeksi kaiken läpikulkevan datan reaaliaikaiselle tallentamiselle. Tämä ongelma on kuitenkin ratkaistavissa siten, että tallennusvälineiden väliin asetettaisiin riittävän tehokas supertietokone, joita esim. kiinalla on useampiakin, jolloin tallennettavan tiedon määrää voidaan supistaa deduplikointitekniikalla niin paljon, että kaikki läpikulkeva data saataisiin talteen, mitään hukkaamatta.

Valokuitukaapeliyhteyksien kautta dataa voisi kerätä useasta tarkastelupisteestä, synkronoidusti ja reaaliajassa, olettaen ettei siirrettävä tietoa ole niin paljon, että siirtokapasiteetti ylittyy. Nopeusennätys tiedonsiirrossa valokuitukaapelin kautta on nykyisin jo ainakin 100 terabittiä sekunnissa ("equivalent of sending 3 months of HD video in one second", huhtikuussa 2011).

Nuorten ja lasten tekemissä rikoksissa on erään uutisia tuottavan tahon uutisoinnin perusteella arvioituna se yhteinen piirre, että jokainen niistä on toteutettu joko vähäisen harkinnan jälkeen tai sitten jotain yksinkertaista kaavaa on toistettu moneen otteeseen. Kun näitä vertaa siihen kuinka monimutkaisia, paljon ennakkosuunnittelua ja toteutusvaiheen hallintaa vaativia rikoksia, haitantekoa tai mediapeliä aikuiset ihmiset tekevät, voisi jäädä vaikutelma, että nuoret ja lapset ovat liian "tyhmiä" tekemään rikoksia tai olemaan kenellekään toiselle haitaksi muulla tavoin kuin muksimalla, tönimällä tai sanomalla rumasti.

Rikoksia, joihin lapset ja nuoret uutisoinnin perusteella ilmeisesti tyypillisimmin syyllistyvät ovat: kananmunien heittely, bänditilojen sytettely, huumeiden kotiviljely, poliisin osoittelu laserilla, myymälävarkaudet, tupakan tumppaaninen toisen otsaan, riitely parkkipaikalla, hätävalheet ja tarinoiden sepittely, valepoliisina esiintyminen, uhkaavat kirjoitukset seinillä, koulu uhkaukset Internetissä, jne.

Ottaen huomioon, kuinka helppo Internetin viestintävälineiden kautta on vinkata muille erilaisista Internetissä käytettävissä olevista sovelluksista (SaaS-palvelut), joilla on näppärä esim. editoida videoita, pitää wikiä, tehdä merkintöjä kalenteriin, piirtää kaavioita, suunnitella projekteja, yms. voitaneen olettaa, että tietoisuus näistä ohjelmista on vain kasvamaan päin. Jo pelkästään selainkäyttöisiä projektinhallintaohjelmia (osa erittäin helppokäyttöisiä) löytää helposti lähemmäs 100 erilaista.

Voitaneen uutisoinnista saatavista vaikutelmista huolimatta lähteä siitä olettamuksesta, että lapset ja nuoret eivät ole tyhmiä, vaan he oppivat asioita erittäin nopeasti? Eikö niin ole väitetty "iät ja ajat", että "lapset opettavat vanhempiaan, koska vanhemmat ovat niin kalkkiksia kaikissa uusissa jutuissa"? Toisaalta, on myös tehty tutkimuksia, joiden mukaan lapset ja nuoret eivät oikeasti ole aivan niin tehokkaita ja taitavia Internetin ja tietotekniikan käyttäjiä kuin toisinaan tavataan hypettää, vaan käyttö on paljoltikin rajautunut tietyntyyppisiin ja usein jopa samoihin palveluihin.

Kuitenkin, olisi ajatuksena melko omituinenkin, ettäkö pitäisi ensin saavuttaa jokin titteli kuten "liikemies" tai "poliitikko", ja vasta sen jälkeen olisi kykeneväinen "kieroon peliin". Uutisointien perusteella lapset ja nuoret ovat aivan liian ärsykkeille alttiita, jotta kykenisivät viemään mitään laajempaa suunnitelmaa loppuun, saati edes aloittamaan sellaisen tekemistä. On vaikea uskoa, että näin todella olisi. Vastakkaisia todisteita saa kerättyä helposti, kun vain vähän seurailee elämää omassa elinympäristössään. Vuokaavioiden käyttö ei ole mitään erityisen vaikeaa, eikä PERT-kaavioidenkaan ideaa kauaa opettele, minkä jälkeen aletaankin olla jo aika valmiita tuottamaan Gant-kaavioita ja ottamaan esim. Microsoft Project käyttöön.

Äänenpaineen vaihtelut sisätiloissa korreloituvat ikkunassa ikkunan värähdysliikkeenä, joka voidaan sopivalla laitteistolla konvertoida takaisin ääniaalloiksi. Äänenlaatu, joka tällä tavoin saataisiin ikkunan värähdysliikkeistä luetuksi, riippuisi ikkunan ominaisuuksista. Vaadittava laitteisto koostuisi lasersäteen lähettimestä ja lasersäteen heijastuman keräävästä ja ääniaalloiksi konvertoivasta laitteesta, jotka voivat sijaita kaukana itse ikkunasta, sekä optionaalisesti äänentallennuslaitteistosta.

Lasersäde suunnattaisiin siten, että säde ei kulkeutuisi ikkunan läpi, vaan heijastuisi siitä. Heijastunut lasersäde osuu vastaanottimessa hieman eri kohtiin, riippuen siitä minkälainen äänenpaine ikkunaan milloinkin kohdistuu. Lasin ominaisuudet ja se montako kerrosta niitä on, vaikuttavat äänenlaatuun. Lasin heilahdusliikkeiden ollessa kovin laajoja lasersäteen vastaanottaminen käy erittäin hankalaksi, jos säteiden vastaanotin on kovin kaukana; iso ikkuna värähtelee laajaliikkeisemmin kuin pieni ikkuna ts. ikkunan koon kasvaessa kasvaa myös ikkunaan osuvan lasersäteen heijastuman hajonta. Teemasta on myös variaatioita, joissa lasersäde kohdistetaan 0-asteisessa kulmassa ikkunaan.

Hintaluokassaan tällaisen järjestelmän rakentaminen tee se itse periaatteella ei muodostuisi kovinkaan kalliiksi (joitakin satoja euroja), verrattuna siihen, miten monia kymmeniä tuhansia euroja kaikista hienostuneimmat "kannettavat röntgensädelaitteet" voivat kalleimmillaan maksaa. Vakoilutarvikkeissa on nykyisin runsaasti vaihtoehtoja useissa eri hintaluokissa, asennusohjeita erilaisiin tarpeisiin saaden varsin helposti kun vain sopivilla hakusanoilla Internetistä hakee.

Seuraavissa esimerkeissä viitataan mm. plasma- ja LCD TV:n (hinnoiltaan 499 USD - 2599 USD) virtalähteiden ympäristöönsä emittoiman elektromagneettisen säteilyn tunnistamiseen, missä signaali korreloi suuresti sen suhteen, mikä elokuva juuri sillä hetkellä on näytillä TV:n ruudulla; mustavalkokuvan rekonstruoimiseen lähes 50 metrin päästä, pelkästään emittoitunutta elektromagneettisuutta tarkkaillen, kohdemonitorin sijaitessa eri talossa; vieraillun verkkosivun tunnistamiseen virtalähteen virranvaihteluista muodostuvan kaavan perusteella.

Seuraavassa listassa ensin mainitussa raportissa (julkaistu 2011) kerrotaan, että vaikka elektroniikkalaitteiden sähkömagneettista yhteensopivuutta on säännöksin rajoitettu, jotta eri laitteet eivät häiritsisi toisiaan, eivät säädökset ota huomioon informaation vuotamisen näkökulmaa. Samassa raportissa kerrotaan myös, kuinka signaali propagoituu joka puolen esim. asuintaloa ilman, että monitoroitavissa oleva signaali, joka siis monitorin ruudulla näkyvän kuvan kanssa korreloi, suuremmin heikentyisi. Tämä on siitä huomionarvoista, että tämä voi mahdollistaa signaalin helpomman "langattoman" siirron ulos koko talosta esim. huonosti suojatun johdon kohdalta. BBC:n uutissivuilta ja YouTubesta löytyy esimerkkiä siitä, kuinka huonosti suojatut johdot mahdollistavat niissä kulkevan signaalin lukemisen suoraan tai toiseen johtoon siirtyneenä (esim. näppäimistön johdosta).

Televisions, Video Privacy, and Powerline Electromagnetic Interference
Muun muassa Panasonicin TV:iden virtalähteiden emittoimaa säteilyä kymmenisen minuuttia tarkkailemalla saavutettiin n. 80 % osumatarkkuus siitä, mitä elokuvan kohtaa oltiin katsomassa.
http://homes.cs.washington.edu/~yoshi/papers/ccs2011 emi.pdf

Identifying Webpages by Tapping the Electrical Outlet
On luonnollista ajatella, että verkkosivu, joka näyttää lukuisia videoita kerrallaan aiheuttaa suuremman virrankulutuksen kuin pelkkä lyhyt tekstipohjainen sivu, mutta olennaistakin onkin tunnistaa "identifiable patterns of power consumption via their different use of computing resources", koskien siis hakkuriteholähteitä.
http://sharps.org/wp content/uploads/CLARK TECH PAPER.pdf

Realistic Eavesdropping Attacks on Computer Displays with Low Cost and Mobile Receiver System
Tässä ei kerrottu tarkemmin, mikä oli kaukaa tarkkaillun monitorin heikoin kohta, vaan siinä vain rekonstruoitiin 46 metrin etäisyydeltä, halvalla laitteistolla, se mitä luki eri kirjasinkooilla kirjoitettuna kohdemonitorin ruudulla etäisyyden lyhentyessä saatettiin lukea täysin selvästi 9pt kokoisella kirjasimella kirjoitettua tekstiä; erikoisuutena tässä oli sekin, että käytettiin ohjelmallisia algoritmeja kalliiden laitteistojen sijaan, mikä teki monitorointilaitteiston liikuteltavuudesta helpompaa.
http://www.eurasip.org/Proceedings/Eusipco/Eusipco2012/Conference/papers/1569583239.pdf

Fysiikan puolelta on löydettävissä runsaasti sellaisia yksinkertaisia luonnonlakeja, joihin vakoilutekniikan voi perustaa. Eräs näistä liittyy kuvajaisen heijastumiseen erilaisista pinnoista. Mahdolliset pinnanmuodoista johtuvat muutokset kuvajaisesta selvää saamiseksi voidaan jättää sopivien matemaattisten algoritmien laskettavaksi siten, että lopputuloksena olisi kuva, joka vastaisi tasaiselta pinnalta heijastunutta kuvajaista.

Kuvajaisen laatuun, joka esineen pinnalle muodostuu, vaikuttavat pinnan kyky heijastaa valoa samassa kulmassa suhteessa pinnan normaaliin, valon tulokulma, pinnan topologia ja materiaalin taitekerroin. Jos pinta on muodoltaan kupera, kaareva tai pallon muotoinen, rinnakkaiset valonsäteet hajautuvat eri suuntiin, riippuen siitä mihin kohdin ja missä tulokulmassa ne pintaan osuvat.

Pinnan epätasaisuus vaikuttaa merkittävästi siihen kuinka selkeä kuvajaisesta muodostuu. Jos pinta on epäsäännöllisen karhea, selkeää kuvajaista ei muodostu, koska valonsäteet heijastuvat sinne tänne. Tätä kutsutaan diffuusiheijastukseksi. Materiaalit, joilla on sileä pinta ilmenevät kiiltävinä ja valoa tasaisesti heijastavana, karheiden pintojen ilmetessä mattapintaisina.

Erilaisilla joka kodista löytyvillä esineillä on erilaisia heijastusominaisuuksia. Jopa putkipihdit omaavat varsin hyvät heijastusominaisuudet, mutta DVD-aseman metalliset kuoret heijastanevat valoa erittäin heikosti. Antistaattinen suojapussi heijastaa sekin valoa suhteellisen hyvin, mutta siitä ei helposti saa riittävän latteaa tasoa, vaan kuvajainen näyttäytyisi vedenomaisen lilluvana.

Kun heijastava taso ei ole lattea, kuvajainen on ikään kuin "kääriytynyt" jonkin muodon pinnalla ts. kuvajainen vääristyy. Jos kyse on esim. pullistuma vääristymästä, kuvajaisen keskellä oleva vaikuttaa suhteettoman suurelta (tunnetaan myös kalansilmäefektin nimellä). Jotkin kodeista löytyvät esineet sisältävät hyvin sileäpintaisia, osittain tai kokonaan pallomaisia kappaleita, joissa heijastuu suuri osa koko huonetilasta.

Jos huoneiston katosta riippuisi halkaisijaltaan esim. 2 sentin mittainen, pinnaltaan erittäin tasainen ja hyvin heijastava pallon muotoinen metallikappale (yksi kattolampun metallisen kehikon kiinnitinkappaleista), voisi sitä kuvata kameralla kaukaakin ja saada otettuun kuvaan zoomaamalla selville miltä huoneistossa näyttää, pienimpiä yksityiskohtia myöten - kuten kolmen metrin päässä metallisesta pallosta avoinna olleen sanomalehden aukeaman tekstisisältö.

Pallomaisen kappaleen kautta ei voisi nähdä sitä, mitä jää pallon vastakkaiselle puolelle. Lisäksi koska pallo vääristää kuvajaista, olisi tarpeen korjata tämä vääristymä ohjelmallisesti. Jotkin ohjelmat osaavat kuva analyysinsa pohjalta määrittää millainen vääristymä on kyseessä ja tehdä korjaukset automaattisesti. Vääristymän korjaus voi onnistua myös sopivilla objektiiveilla, olettaen, että kuvauskaluston voi pitää paikoillaan, eikä objektiivin korjaava vaikutus kohdistuisi täten vääriin kohtiin.

IEEE Xplore on verkossa käytettävissä oleva digitaalinen kirjasto, joka mahdollistaa pääsyn lukemaan useita miljoonia tieteellisiä ja teknisiä tutkimuksia, raportteja ja muita dokumentteja. Riippuen oppilaitoksestaan, käyttämästään kirjastosta tai työpaikastaan, voi näitä dokumentteja päästä lukemaan ilmaiseksi tai vaihtoehtoisesti voi käyttää DeepDyve-palvelua, jonka kautta pääsee lukemaan valitsemiaan dokumentteja pieniä kertakorvauksia vastaan. Seuraavassa on muutama poiminta valvontaan liittyvistä tutkimusraporteista, jotka on tarkoituksella valittu hieman aiemmalta ajanjaksolta kuin ihan viimeisimmiltä vuosilta antamaan ymmärtää, että näiden jälkeen kehitys on edennyt vielä pidemmälle. Jokaisesta näistä tutkimusraporteista on esitetty lyhyt kuvaava kommentti.

On the feasibility of using a cognitive model to filter surveillance data (2005)

Automaattisen valvonnan “Graalin malja" on tietojärjestelmä, joka voi monitoroida satoja kameroita samanaikaisesti ja vetää operaattoreiden huomion niihin muutamiin kameroihin, joissa rikos saattaa juuri parhaillaan olla käynnissä.

A Survey on Visual Surveillance of Object Motion and Behaviors (2004)

Ympäristöjen visuaalisen tarkkailun prosessointikehys sisältää seuraavat vaiheet: ympäristön mallintaminen, liikkeentunnistus, liikkuvien kohteiden luokittelu, seuranta, kohteiden käytöksen ymmärtäminen, ihmistunnistus ja useiden kameroiden tuottaman datan yhteensulauttaminen.

Visual Surveillance System for Monitoring of Passenger Flows at Public Transportation Junctions (2005)

Valvontajärjestelmän pilotti, automaattiseen matkustajavirtojen analysointiin. Pohjautuu tekoälyn ja visuaalisen, kameroista koostuvan hajautetun sensoriverkoston yhteistoimintaan, pyrkimyksenä kohteiden liikeratojen ymmärtäminen ja ennakointi (lähihetkellä ja pidemmän ajan kuluttua).

Performance Evaluation of a Real Time Video Surveillance System (2005)

Vartiointiliikkeiden vartijoiden työ laajoille valvonta alueilla kuten teollisuusalueilla, ostoskeskuksissa ja lentokentillä on hankalaa työtä, johtuen suuresta asennettujen kameroiden määrästä ja täten suuresta visuaalisen informaation esillä olemisesta. On väsyttävää, jopa ikävystyttävää, tarkailla videosyötteitä pitkiä aikoja kerrallaan.

Multi Sensor Technologies Augmenting Video Surveillance: Security and Data Fusion Aspects (2008)

Visuaaliseen tarkkailuun perustuvan järjestelmän "aistimistoiminnan" täydentäminen lisäämällä systeemiin erityyppisiä sensoreita (esim. auditiiviset ja infrapuna).

A Survey on Behavior Analysis in Video Surveillance for Homeland Security Applications (2008)

Kehittyneimmät käytöstä tai tapahtumaa analysoivat tietojärjestelmät ovat itseoppivia. Ne tallentavat ja määrittävät (oppivat) uusia käytöksien/tapahtumien malleja (eng. pattern).

A Detection System for Human Abnormal Behavior (2005)

Käytetty tunnistusalgoritmi kykenee tunnistamaan ihmisruuhkaisessa ympäristössä poikkeavan käytöksen kuten juoksemisen, alas kumartumisen, pitkulaisen esineen kantamisen, käden heiluttamisen, jne.

Prediction of Abnormal Behaviors for Intelligent Video Surveillance Systems (2007)

Haasteena on määrittää dynaamisia luokitteluja, jotka oppivat ja säätävät itseään sen mukaan, kuinka seurattujen kohteiden käytös muuttuu, ilman että tietojärjestelmän täytyisi käydä läpi harjoitteluvaiheita. Tyypillisesti valvonta kohdistuu turvallisuuden näkökulmasta epätavalliseen käytökseen (henkilö juoksee hotellin aulassa) ja epänormaaliin käytökseen (henkilö rikkoo rajoitettujen alueiden sääntöjä, kuten rautatien ylittäminen).

Windowin printteriajureissa ja tulostusjonoja hallitsevissa taustapalveluissa on ollut omat tietoturva-aukkonsa ainakin niin kauan kuin Windowseja on ollut olemassa. Osaa näistä aukoista väitetään pystyttävän hyödyntämään siinä määrin, että "kohdejärjestelmä voidaan kaapata kokonaan", mikä voi tarkoittaa sitäkin, että oikeuksia olisi enemmän kuin Admin-käyttäjälläkään voisi ajatella olevan eli koko käyttäjienhallinta-toiminnallisuus ohitettaisiin ja kirjoiteltaisiin bitti kerrallaan suoraan tietokoneen muistiin tai kovalevylle.

Rajatummassa hyökkäyksessä (tai pelkässä kohdekoneen tutkimisessa) tunkeutuja joutuisi tyytymään kulloinkin kohdekoneeseen kirjautuneen käyttäjän oikeustasoihin, jotka olisivat todennäköisesti peruskäyttäjän tasoiset eli ei esim. voisi asentaa minkäänlaisia ajureita.

Hakusanalla "printers", hakukohteena tunnetut ja löydetyt tietoturva-aukot, löytyy mm. SecuriTeamin sivuilta muutaman sataa aukkoa. Vuodelta 1999 löytyy Windows NT:tä koskeva tapaus, jossa tietoturvaongelma pelkistettynä muodostuu siitä, että tulostinjonosta huolehtiva palvelu ei varmistu siitä, että se kykenee ottamaan vastaan saapuvan aineiston, joka koostuu sekä varsinaisesta tulostettavasta aineistosta, että erilaisista ohjauskomennoista. Jos aineistovälimuisti ns. vuotaa yli (eng. buffer overflow), tulee kohdejärjestelmä suorittaneeksi ylivuotaneessa osassa olevan - kätketyn - ohjelmakoodin, joka taasen voisi hyödyntää jotain toista tietoturva aukkoa (esim. Windowsin sellaista). Esimerkki on vanha, mutta samaa voi tapahtua jokaisen, milloin tahansa kehitetyn tulostinpalvelun kohdalla, jos sitä ei ole tehty ja testattu riittävän huolellisesti.

Tietoturva-aukkojen semiautomatisoitu hyödyntäminen ei välttämättä vaadi kovinkaan kummoista koulutustaustaa, jos hyökkäysohjelma on jo kertaalleen ennalta ohjelmoitu jonkun tekemänä, eikä se ole liian vaikeaselkoinen käyttöliittymältään. Luonnollisesti voidaan kuvitella monia skenaarioita, joissa hyökkääjältä vaaditaan syvällistä perehtymistä tietotekniikkaan, ICT-alaan ja kohdejärjestelmiin, mutta yleensä ottaen pyrkimys on aina kohti mahdollisimman laajaa toiminnan automatisointia. Eräs pitkälti automatisoitu hyökkäys on ollut paljon julkisuutta saanut Stuxnet-virus, joka sekin hyödynsi tulostinpalvelun tietoturva-aukkoa.

Tiedon tulostamista varten tietokoneeseen tarvitaan yleensä jokin tulostinkohtainen ajuri (yksi tai useampia tiedostoja). Jos noita tiedostoja muokkaa sopivasti, voidaan tulostamisen yhteydessä saada tapahtumaan paljon muutakin kuin mitä oletetaan tapahtuvan. Tulostaminen voisi johtaa varsinaisen tulostimisen lisäksi siihen, että kaikki tulostettu aineisto lähetettäisiin jonnekin ulkoverkkoon (Stuxnetin kerrotaan lähettäneen tiedot "viattoman näköiselle jalkapalloaiheiselle sivustolla").

Jos virukselta ei onnistuisi tietojen verkkoon lähettäminen (ei yhteyttä), voisi saastunut tulostinajuri tallentaa tulostetun aineiston johonkin sellaiseen paikkaan kyseisen tietokoneen kovalevyllä, josta niiden lukeminen ei vaadi kuin tavallisen käyttäjän oikeudet, jolloin ne voisi kuka tahansa "tavallisilla oikeuksilla" varustettu käydä kopioimassa omalle muistitikulleen.

Väärentämällä tulostinajurin voisi saada aikaiseksi paljon muutakin kuin tiedon varastamista, yhtenä muuna vaihtoehtona ollen rahanmenon aiheuttaminen tulostimen käyttäjälle, jonka tulostin kaipaa entistä useammin uusien mustekasettien ostamista: tulostimen monitorointiohjelma näyttäisi vääriä lukemia, eikä tulostin ehkä toimisi ollenkaan ennen kuin kaikissa 4 värikasetissa on riittävästi mustetta. Tällainen useammin tapahtuvaan mustekasettien ostamiseen pakottaminen voisi tehdä nopeasti merkittävän loven esim. aloittelevan teini-ikäisen aktivistin tuloihin (paitsi, jos hän ostaa kokonaan uuden tulostimen, jotka eivät nykyisen ole kovin kalliita).

Toisentyyppinen haitantekokeino, joka perustuu tulostinajurien väärentämiseen ja uudelleenohjelmointiin, liittyy tulostinjäljen muunteluun. Tulostin saattaa muuten toimia ok, mutta se tulostaisi esim. yksittäisen tulostusarkin kaikki j-kirjaimet paksummaksi kuin muut kirjaimet. Tämä voisi tehdä esim. taittajan työstä kovin hankalaa työn loppuun asti viemiseksi. Kirjoittaja väittää tätä tapahtuneen itselleen hänen työskennellessään erään lehden taittajana, mutta ei voi todistaa sitä.

Kirjoitin vuoden 1999 tietämillä enimmäkseen fiktiivisenä pitämäni kirjoituksen otsikolla "kalibraatioyksilöt", joka kertoi ihmisistä, jotka edustivat suurta joukkoa muita ihmisiä ja joiden käytöksen myötäiseksi muiden ihmisten käytöstä yritettiin muuttaa, jotta tätä yhtä yksilöä erilaisin menetelmin (salaa) monitoroimalla ja analysoimalla, voitiin samalla tehdä päätelmiä myös niistä ihmisistä, joita hän edusti. Nykyään kun Business Intelligence, big data ja ennakointijärjestelmät ovat jo melko tavanomaisia liiketoimintastrategioiden osia eli tiedonlouhinnalla päästään selvyyteen asiasta kuin asiasta, hahmon ja käytöksentunnistusteknologiat ovat erittäin pitkälle vietyjä, eloisia valokuvia saa otettua pelkän tulitikun tarjoamalla valovoimalla tai laserin seinistä kimpoilua hyödyntäen ja kuluttajatasollakin on jo lukuisia verkkopalveluja, jotka tarjoavat mahdollisuuden esim. viheltämällä tapahtuvaan biisin tunnistamiseen tai kuvahakujen tekemisen esimerkkikuvia käyttäen, voidaan sanoa sen vaiheen saavutetun, jossa seinät tarjoavat enää lähinnä tuulensuojaa.

Yhdistettäessä kaikki erikoiset monitorointi- ja analysointiteknologiat yhden tietojärjestelmän hallinnan alaiseksi, saadaan aikaiseksi kaikki johonkin yksilöön liittyvä tieto tarkasteltavaksi livestreaminä, editoituna ja mixattuna on demand lähetyksenä, tai jopa pilvipalvelun kautta käytettäväksi sosiaaliseksi webkonferenssiksi.

Jos valitaan näistä vaihtoehdoista sellainen, jossa yksittäinen "kuikuilija" saa käyttöönsä vain ajoittain vaihtuvan IP-osoitteen jonkin salaisen verkoston kautta ja oletetaan lisäksi, että kukaan kuikuilijoista ei tiedä ketkä osallistuvat monitoroinnin, analysoinnin ja puolijulkisen seurannan tarjoamiseen, päädytään riittävän mielenkiintoisen (tai omituisen) seurattavan kohdalla tilanteeseen, jossa toisistaan tietämättömät "kuikuilijat" alkavat ymmärtää, että näitä kuikuilijoita on niin paljon, että sitä voi käyttää jonkin sanoman viemiseen muiden kuikuilijoiden tietoisuuteen. Ongelmana, muttei ylitsepääsemättömänä, on se, että puolijulkisen monitoroinnin kohteena oleva yksilö pitää saada tekemään sellaisia valintoja ja tekoja, jotka herättävät kuikuilijoissa jonkin tietyn ajatuksen tai idean.

Siihen, miten monitoroitava kohde käyttäytyy, voidaan vaikuttaa talon ulkopuolella sekä esim. Internetissä. Siihen, miten monitoroitavan kohteen voi ajatella käyttäytyvän esim. huomenna aamupäivällä, saadaan selvyys big datan (paljon kertynyttä tietoa) ja ennakointialgoritmien avulla (voivat olla niinkin yksinkertaisia, että niitä voi käsitellä ilman tietokoneen apua, kuten olisi esim. pienehköjen vuokaavioiden tapauksessa).

Asiaan liittyy myös sellainen seikka, että kuinka saadaan toiminta pysymään sillä tapaa salassa, ettei se tule julki ja asiaa käydä tutkimaan ihan poliisivoimin tosin, mistäpä poliisi sellaisen laitteen saisi, joka selvittää kenen laite ottaa parhaillaan vastaan photoneita eli silloin asiaa pitäisi lähteä purkamaan auki jotenkin toisin. Tiedämme, että esim. 70 000+ työntekijän Apple Inc. pystyy pitämään tulevat tuotejulkistukset salassa ja tiedämme, että ihmiset yleensä ovat mielellään niitä, jotka ovat osana jotain erityistä, mutta voisiko tosiaan olla niin, että esim. 50 000 kuikuilijaa pystyisi olemaan lipsauttamatta jotain julki? Liikaa? Entä 10 000? Tai 1000?

Pystyisikö tuhat ihmistä pitämään suunsa kiinni tällaisen tietämänsä salatarkkailun (ja mitä ilmeisemmän hakkeroinnin, tietomurtojen ja käytöksen ohjailun) suhteen? Mediailmaston runsaat vihjeet salatarkkailun käytettävissä olemisesta ja sen tuloksista antavat kuitenkin ymmärtää, että tuhannen ihmisen joukko olisi rutkasti alakanttiin oleva arvio. On myös niin, että media tarjoaa julkikuvaansa muokkaamaan pyrkiville kuikuilijoille (joita myös esim. poliitikoista löytyy) hyvän mahdollisuuden esittää muille kuikuilijoille vertaista tai osoittaa kontrastisuutta monitoroitavaan henkilöön, eikä sitä tilaisuutta haluta jättää käyttämättä varsinkaan kun se ei maksa mitään ja se tehoaa tavoiteltuun kohderyhmään.

Käytännössä tämä toimii parhaiten (enemmän varmemmin) silloin, kun monitoroitava henkilö on sillä tapaa särmä tyyppi, että hän noudattaa päivärytmeissään ja käytöksessään tunnistettavissa olevia kaavamaisuuksia. Tätä voi tehostaa stressaamalla häntä, jolloin hänen otsalohkonsa eksekutiiviset toiminnot ohjaavat hänen ajatteluaan enemmän karkeille ja tutuille urille, sekä tekemällä hänestä sen verran köyhän, ettei hän voi fyysisesti poistua kovin kauas ja kovin pitkäksi aikaa. Tämä tarjoaa vakaamman pohjan käytöksen muokkaamiselle ja täten sille, että kohdehenkilö saadaan toimimaan jollain sellaisella tavalla, joka muokkaa kuikuilijoiden mieltä joidenkin tiettyjen muiden kuikuilijoiden toivomalla tavalla. Kohdehenkilön käytöstähän voidaan muokata vaikka siten, että viedään hänen ikkunastaan näkemäänsä näkymään jotain erityisiä ajatuksia herättäviä esineitä tai kuljetaan siitä ohitse tietynlaisia ajatuksia herättävän näköisenä.

On joissain tapauksissa mahdollista, että tietoverkon kautta tapahtuvasta häirinnästä pystyy muodostamaan vaikutelmaa häirinnän toteuttajista. Oletettakoon, että kyse on sellaisesta kaksivaiheisesta häirintätekniikasta, jonka ensimmäisessä osassa opetetaan (ehdollistamisvaihe), että tietynlainen ylenmääräisesti esiintyvä tietokoneen poikkeava toimintaa "tarkoittaa" sitä, että sen esiintymisen aikaan mielen pitäisi huomioida jotain tiettyä muuta juuri sillä hetkellä havainnoitavissa olevaa. Tämä poikkeava toiminta voisi olla esim. kovalevyn toiminnasta lähtevä naksuttava ääni, tietokoneen hetkellinen jumiutuminen, hiiren pointterin omituinen viuhahtelu tms.

Käytännössä häirintä jatkuisi toisessa vaiheessa siten, että tietokoneen poikkeavan toiminnan aikana ruudulla olisi esitettynä jotain sellaista, joka olisi assosiaatioiden tai konnotaatioiden kautta liittyvä esim. sanoihin tappaminen, natsi, julmuus, nietzsche, jokela, virginia tech, myyrmannni, itsemurha, jne. Jos tätä jatkuisi kuukausikaupalla, aivoihin alkaisi muodostua neuronien klustereita, ryppäitä ja rykelmiä, joissa aktivoituisi suuri joukko neuroneita viestimään keskenään, palauttaen tietoisella tasolla mieleen suuren osan aiemmista samaan ehdollistumaan liittyneistä asioista. Aivojenhan voidaan luonnehtia olevan eräänlainen kuvion-/mallintunnistuskone (eng. pattern recognization machine), joten se "tajuaa" milloin tietyt havainnolliset kriteerit täyttävä esiintymä ilmenee uudestaan.

Erityisen alttiita tällaiselle häirinnälle ovat ne, joita stressataan jollain muullakin tavoin - päivittäin - sillä mieli voi tuolloin jäädä helpommin jonkinlaiseen kierteeseen (eng. loop), eikä se pääse niin helposti näistä ikävistä asioista irti. Meditaatio on eräs niistä keinoista, jolla tällaisen häirinnän vaikutusta voi tehokkaasti ehkäistä, mutta meditaation vaikutukseen uskominen pitää ensin muodostaa kokeilemisen kautta, minkä vuoksi monet häirinnän kohteen voivat yrittää selvitä asiasta yksinkertaisesti yrittämällä ajatella jotain aivan muuta tai ainakin olemaan ajattelematta sitä, mikä häiritsee. Tällainen ei toimi kovinkaan hyvin, jos on muutenkin stressaantunut ja mielenhallinnassa on jotain muutakin kehitettävää.

Varsinaiseen häirintään voi olla kehitetty oma etäkäyttöliittymänsä, jossa käytettävissä olevilla painonapeilla voi saada aikaan hyvinkin monimutkaisia ja moniosaisia prosesseja. Helpoimmillaan sen kautta voi tehdä yksinkertaisia toimenpiteitä kuten etätietokoneen (kohteen tietokone) kovalevyn indeksoinnin käynnistäminen tai sen prosessorin tuulettimen nopeuden muutos. Haastavin osuus häirinnän toteuttajien kannalta on saada kohteen tietokoneeseen asennettua sellainen taustaohjelma, johon voidaan milloin tahansa ottaa salainen yhteys ilman, että kohdetietokoneen verkkoliikennettä monitoroivat ohjelmat edes huomaavat minkäänlaista ylimääräistä verkkoliikennettä esiintyvän. Käytännössä tämä onnistuu hyödyntämällä Windows-käyttöjärjestelmien lukuisia julkistettuja ja julkistamattomia tietoturva aukkoja, mikä voi olla joillekin asiansa osaavilla helppo ja triviaali tehtävä. Kyseisellä taustaohjelmalla olisi rajoittamattomat oikeudet tehdä kyseisessä tietokoneessa mitä vain, mahdollisesti ohittaen koko käyttöliittymäkerroksen ja ohjaten tietokoneen toimintaa sen ohi.

Tiettyihin samoihin ehdollistumiin pohjautuvan häirinnän jatkuessa alkaa häiritsijöistä muodostua tietynlainen profiili, jos voidaan olettaa, että vain tietyt henkilöt ovat voineet olla tietoisia siitä, miksi kohdehenkilö avasi juuri tietynsisältöisen tai aiheisen verkkosivun. Tällaisille ounasteluilla tarvitaan lukuisia vahvistumia, mutta lopulta tietty varmuus alkaa muodostua. Tämä ei kuitenkaan ole mikään varsinainen todiste, vaan se on vain tuntuma, jonka yhteydessä esiintyy tiettyä varmuutta. Lisäksi häiritsijöiden on helppo kertoa erilaisia avainsanoja muille ihmisille ja täten delegoida häirintä jonkin sellaisen tehtäväksi, joka ei ole koskaan varsinaisesti tavannut häirittäväänsä.

Tapauksesta riippuen häirintä voisi olla sillä tavoin koordinoitua, että sillä pyrittäisiin aiheuttamaan esim. sitä, että tietyt aiheet olisivat jatkuvasti nousemassa uudelleen ja uudelleen kohdeyksilön mieleen (esim. sairaudet ja murhat) tai vaihtoehtoisesti tiettyjä kohdeyksilön mielekkäinä pitämiä aiheita pyrittäisiin tekemään ärsyttäväksi hänelle. Esim. aina kun hän yrittää keskittyä gradunsa työstämiseen ja tiettyyn mielentilaan sisäänpääsemiseen, alkaisi esim. tietokoneen tuuletin pitää erikoista ääntä (piilotettu taustaohjelma olisi huomannut tiedoston avaamisen ja reagoinut ennalta ohjelmoidun skriptin mukaisesti), jolloin hänen tietoisuutensa vyöryisi kaikenlaista turhaa gradun tekemisen kannalta ja sen kertainen orientoituneisuus olisi kenties aivan pilalla.

Lisähaasteita ja hyötyjä häirinnän toteuttajille muodostuu kohdeyksilön toiminnan tarkkailemisesta reaaliajassa. Tämä voidaan toteuttaa joko perinteisellä kiikarointimenetelmällä tai jollain hienostuneella keinolla, joka välittää monitorilla näkyvän kuvan reaaliajassa häiritsijöiden katseltavaksi.

Moni on kuullut puhuttavan ns. mustista listoista, joiden käyttötarkoituksena on olla tekemättä jonkin tai jonkun kannalta huonoja valintoja, niistä voiden nopeasti tarkistaa onko joku listasta tietoinen kirjannut tähän "yleisiltä katseilta" piilossa pidettyyn listaan jonkin tietyn henkilön nimen. Niiden eräs, julkilausumaton, käyttötarkoitus onkin siinä, että niiden hyödyntäjältä säästyisi aikaa ja vaivaa. Enemmän fiksummat ovat kuitenkin oivaltaneet, että lyhyiden ja pitkän aikaa samoina pysyvien kuvaustekstien kelpoisuutta, sovellettavuutta ja mahdollisesti alkuperäistä todenpitävyyttäkin voi ja pitääkin epäillä. Tämä ei kuitenkaan, suinkaan, ole johtanut siihen, että ns. mustat listat olisi tullut hylätyksi, vaan pikemminkin ne ovat evoloituoituneet.

Mustien listojen nykyaikaisemmaksi muodoksi voi visualisoida esim. läpinäkyvän laatikon, joka on kytköksissä Internetiin. Laatikkoon voi saada yhteyden, jos tietää sen IP-osoitteen. Tietyssä mielessä tässä on kyse tiettyjen ICT-teknologioita hyödyntävien ideoiden käyttämisestä pahaan tai kyseenalaiseen, hyvän tai asiallisen sijaan. Laatikko itsessään ei olisi pelkkä staattinen laatikko, johon vain "tiputettaisiin" tietoa muiden selailtavaksi, vaan se hakee itse aktiivisesti ja reaaliajassa tietoa useista eri lähteistä, joita voivat olla periaatteessa mitkä tahansa, jotka kertovat jotain esim. jonkun tietyn henkilön sen hetkisestä sijainnista, aikomuksista ja aiemmin tekemistä asioista. Tässä viitattaisiin myös sellaiseen tiedonsaantiin, jota kohdehenkilö ei itse olisi järjestänyt omaan käyttöönsä kuten etäältä tapahtuva tekninen salakuuntelu.

Tietoa ja dataa voi kuitenkin kertyä paljon jo esim. yhdestä ihmisestä, joten tiedon "loppukäyttäjän" kannalta ajatellen tarvitaan jonkinlaisia "executive summary" tyyppisiin teksteihin verrannollisia lyhyitä lausuntoja, jotka olisivat joko a) lausuntojen kirjoittajien kirjoittamia, b) ohjaajien/valikoijien valikointeja tai c) pseudoautomaattisten algoritmien tuottamia koosteita. Käytännössä tällöin olisi päästy vanhoista staattisista mustista listoista uudemman mallisiin melko staattisiin mustiin listoihin, olennaisena erona ollen tiedonkeruun ICT-avusteisuus, lausuntojen ajantasaisena pysyvyyden rytmi ja lisätietojen tarpeen nopeampi tyydytettävyys.

Tämä lisätietojen saannin nopeamman tyydyttämisen tarve on tullut sitä merkittävämmäksi, mitä riskialttiimpaa väärien tai vaikka vain ylimääräistä vaivaa aiheuttavien valintojen tekeminen olisi ja mitä enemmän haittaa riskien laukeamisista seuraisi. Internet Explorerin, Firefoxin, Safarin ja Chromen avulla on helppo selailla sitä tietoa, mitä näihin (lukuisiin) laatikoihin on kertynyt ja tarkastella niitä näkymiä, joihin niiden kautta pääsee käsiksi. Joukkoistamisen (yhteistoiminnallistamisen) avulla voidaan ratkaista moni sellainen ongelma, joka estää saamasta reaaliaikaisesti tietoa jostain kohteesta/asiasta. Tämä voi tarkoittaa esim. piilotetun Logitechin webkameran asentamista jonnekin tai yliopisto-opiskelijoiden kehittämän prototyyppisen videokameran hyödyntämistä, jonka sensoritekniikka on niin kehittynyttä, että sen voi liimata seinään kiinni, eikä seinään jää edes kohoumaa siihen kohdin.

Tällaisten tarpeiden tyydyttäminen ei välttämättä johda vain siihen, että lopputuloksena olisi koko kansakunnan kattava valvontajärjestelmä, jossa prosentuaalisesti pienehkö joukko pystyisi tarkkailemaan ketä vain ja missä vain, mutta se voisi houkutella osallisia tarjoamaan "palveluitaan" erilaisille instituutioille, jotka ideasta viehdyttyään saattaisivat ottaa sen jollain tapaa osaksi omaa toimintakulttuuriaan tms. Esim. uutistuotantoa harjoittavan tahon, kuten YLEn, olisi helppo vinkata verkkosivuillaan tietynlaisesti kooditetun uutisoinnin avulla milloin tietystä "webbi tv:stä" tulisi mielenkiintoista katseltavaa. Avainsanana voisi olla vaikka "susi" (susi syö, susi makaa, susi ajaa takaa, susi kadottaa CV:nsä metrossa, susi lähestyy mahdollista partneria, susi kävelee näppäimistön päällä..).

Kokemustaustasta riippuen on helpompaa hahmottaa joko se, että jonkin vaarallisen venttiilin auki vääntäminen onnistuu yhdeltäkin haitantekoon pyrkivältä ihmiseltä, jos vain vääntömomenttia saadaan tarpeeksi, kuin se, että lyhyillä tietojenkäsittelykäskyillä saadaan yhtä helposti aikaan pieni kuin valtavan suuri muutos. Esimerkiksi käskyllä UPDATE customertable SET surname = "Matikainen" saisi varsin vaivattomasti muutettua verkkokaupan kaikkien miljoonan asiakkaan sukunimeksi Matikainen. Sellainen voisi aiheuttaa jonkin verran hämmennystä.

Huomattavasti vaikeampaa on hahmottaa sitä, että massatuotantona valmistetussa esineessä kuten tietotokonemonitorissa, tietokoneen emolevyssä tai älypuhelimessa olisi muuttunut jotain, jos ne vaikuttavat toimivan kuten niiden voisi olettaakin toimivan, mutta todellisuudessa niihin on lisätty sellainen etätarkkailu ja kontrollointimahdollisuus, jota tuotteen varsinainen valmistaja ei ole auktorisoinut.

Hahmottamisongelma koostuu monesta eri asiasta, joista toimitusketjun ja komponenttien valmistusprosessin ymmärtäminen ovat vain eräitä. Hahmottamisessa ei juuri auta, että on joskus ollut esim. mehutehtaan pakkaamossa töissä ja tietää, että lähteviä tuotteita saapuu eri linjoja pitkin, ne kulkevat tiettyjen satunnaistarkistuspisteiden ohitse, ne kasataan lavoille, pakataan kelmuun ja lähtevät sitten kuorma autokyydissä jonnekin toisaalle. Pikemminkin tällainen, mahdollisesti vielä tuore, mutta melko yksinkertainen kokemusperäinen tieto saattaa vahvistaa vääriä luuloja omasta ymmärryskyvystään (ajatusten urautuminen).

Kelmuun pakatun ja lavalle lastatun rahalähetyksen katoamisen sillä tietämyksellä pystyy vielä hahmottamaan, mutta ei sitä, kuinka sellaiseen ryöstöön saatiin osallistutettua niin moni kuin mitä siihen varmastikin tarvittiin. Jos sama olisi tapahtunut bittiryöstönä, eikä olisi ICT-alan osaaja, ei hahmottaisi tapahtuneesta paljon mitään.

Vielä kauemmaksi laitteiden sisäisten komponenttien vaihtumisen mahdollisuuteen uskomisesta vievät median kautta vahvistuneet meillä/heillä tyyppinen jaottelu: kun jotain hankalasti hahmotettavaa tietoturvaongelmaa ilmenee, se tapahtuu aina jossain muualla (ei meillä täällä Suomessa). Tässä mielessä Suomessa mm. pankeilla on myös illusionistisen taikurin rooli, ohjatessaan toistuvilla tiedonannoillaan tiedonkalastelusta huomion pois vakavammista tietoturvaongelmista.

Samantapaisesti uskomuksia vääristävät myös uutisoinnit jonkin "oudon möykyn" löytymisestä elektronisessa laitteessa. Todellisuudessa "oudon möykyn" asentaminen ei välttämättä ole sen vaikeampaa kuin laitteen alkuperäisen mikropiirin korvaaminen uusilla ohjelmoinneilla ja virtapiireillä varustetulla - yhtä nätisti piirilevylle asennettuna kuin olisi suoraan tehtaalta tullut. Kuitenkin, jos ei ymmärrä miten tämä voisi olla mahdollista, saattaa pitäytyä siinä uskomuksessa, että on aina pakko olla jokin "outo möykky", muuten ei voi olla mitään poikkeavaa.

Somebody in the middle on eräs tietoturvaan liittyvistä käsitteistä (huomaa sukupuolinen tasa-arvoisuus), joka on eräinä harvoista tullut edes hiukan tutummaksi ihmisten keskuudessa, johtuen varmastikin pitkälti siitä, että se on visuaalisesti helppo hahmottaa ja sille on löydettävissä lukuisia vertauskuvia tosielämästä. Ylimääräisten etätarkkailu- ja kontrollointilisien avulla jonkun tahon on helppo pitäytyä sekä passiivisena ja huomaamattomana välissäolijana, joka vain tarkkailee, monitoroi ja tallettaa, mutta sama taho voi myös esim. kaapata kaiken viestiliikenteen joksikin aikaa ja lähettää valikoiden vain osan kaapatusta viestinnästä eteenpäin, muutettuna tai sellaisenaan.

Toisin kuin raharyöstöesimerkissä bittiliikenteen kaappaus ja vaihtaminen saattanee olla helpompi ymmärtää (tai ainakin luulla ymmärtävänsä) kuin konkreettisen esineen kaappaus ja vaihtaminen. Esineen vaihtumisen syiden miettiminen käy herkästi varsin monimutkaiseksi ja samalla myös tyssää aika nopeasti, jos esineen lähettäjä kiven kovaan väittää, että on varmasti lähettänyt tietynlaisen esineen tiettyyn aikaan.

Esimerkkinä (kuvitteellinen) konkreettisen tuotteen vaihtumisesta vaikkapa Shapewaysiä vastaavan suomalaisen yrityksen verkkosivuilta tehty tuotetilaus (itse tehdyn 3D-mallin printtauttaminen), tuloksena ollen, että vaikka kaikki merkit viittaavat siihen, että oikeanlainen tuote on mennyt tilausjärjestelmään, oikeanlainen tuote on tulostettu 3D-printterillä ja oikeanlainen tuote on lähtenyt tilaajalle, tilaaja sai silti erilaisen tuotteen kuin mitä oli tilannut. Tämän hän saattoi päätellä siitä, että tuotteen 3D-mallissa oli selkeästi ollut mukana ylimääräinen kaiverrus, jossa luki "lälläspöö". Tämä kaiverrus oli sillä tapaa tuotteen sisäpinnoilla piilossa, että oli mahdollisuuksien rajoissa, että se olisi saattanut jäädä huomaamatta siltä, joka otti tulostetun 3-ulotteisen esineen ulos tulostimesta puhdistusta varten. Eli täten ei voida olla varmoja missä prosessin vaiheessa muutos tapahtui. Toisaalta, koska kyse oli standardoiduista ja halpenemaan päin olevista 3D-printtereistä, joita on käytössä useilla eri toimijoilla, ei sekään mahdollisuus ollut varsinaisesti pois suljettua, että saatu 3D-tuloste oli itse asiassa tulostettu aivan jossain muualla ja tuotevaihdos oli tapahtunut vasta lähetyksen lähettämisen jälkeen. Lähetyspakkaus sinänsä ei ollut mitenkään erityinen: tavallinen pahvilaatikko, hiukan pehmusteita ja paketissa lähettäjän vakiotiedot.

Jos on hankalaa uskoa, että yksittäinen elektroninen laite olisi jollain tapaa päässyt vaihtumaan sellaiseen, jota voidaan etäkontrolloida, niin vielä jyrkempi uskomisen kynnys syntyy, jos joku väittäisi joutuvansa käyttämään useampia kuin yhtä tällaista laitetta. Sinänsä on mielenkiintoista on, että tällainen uskomisen kynnys muodostuu absoluuttisten määrien kautta, sillä jos on olemassa valmis, toistettavissa oleva prosessi, jolla saadaan tuotevaihdos toteutettua huomaamattomasti, niin uusi vaihdoshan on vain jonkin tutuksi tulleen toistamista. Kyse onkin siitä, kenen ymmärrys riittää ja miten pitkälle. Sellaiset "moniymmärtäjät", jotka ymmärtävät sekä kuljetuslogistiikkaa, elektroniikkaa, televiestintää, piraattitehtailua, kytkentäkaaviovarkauksia, psykologiaa ym. ja ovat lisäksi ns. "hyvien puolella", lienevät Suomessa melko harvassa?