Digitalisaatio - hyvät ja huonot puolet

[Antw]

Jokin syy pisa-tulosten laskuun on oltava ja olen itse ainakin siinä käsityksessä, että yksi syistä on älypuhelimet, joilla pelataan tunnilla.

Puhelinta ei saa käyttää tunnilla peruskouluissa. Eikä alakoululaisten osalta edes välitunneilla. Näin ainakin paikallisessa koulussa.

 

[Yann]

Opettajan ei pidäkään tietää sellaista. Lasten puhelimet ovat näiden omia ja niistä vastaavat heidän vanhempansa. Koulu voi sanoa vain missä niitä saa käyttää koulun aikana ja sillä siisti.

Ja miljoonien käyttäminen suomalaisten osaamiseen on tietenkin järkevää, mutta vain silloin, jos sillä rahalla ratkaistaan ongelma, johon ei ole jo valmista ratkaisua. Mutta kun nyt ratkaisuja on jo, niin ei sitä pyörää kannata alkaa uusiksi keksimään.

Älypuhelinten, somen ja pikavideoiden aiheuttama infoähky ja keskittymiskyvyn heikentyminen on yksi syy muiden joukossa ja tästähän oli puhetta jo aiemminkin, mutta ei sitä ongelmaa millään henkilökohtaisiin laitteisiin koulujen toimesta asennettavalla isovelisovelluksella voida alkaa ratkomaan. Koulu voi kieltää puhelinten käytön tunneilla ja monissa (useimmissa?) kouluissa näin onkin. Ylipäätään tuo on vain pieni osa suurempaa ongelmaa.

Asiantuntija luetteli A-studiossa viisi syytä Suomen Pisa-tulosten laskuun

Suomen heikentyneitä oppimistuloksia tutkineen Aino Saarisen mielestä esimerkiksi opettajien rooli on liian vähäinen ja liian pienille oppilaille annetaan liikaa vastuuta.

yle.fi

Näkisin älylaitteiden olevan ongelmista nimenomaan se suurin johon voidaan vaikuttaa. Älylaitteet ovat hyvänä apuna opiskelussa, mutta samalla keskittyminen voi mennä aivan muualle ja oppiminen vaikeutua. Tämän takia opetushallituksen tulisi kehittää turvallisia "oppimistila"-sovelluksia tämän ongelman ratkomiseen. Älylaite voi olla myös oppimisväline.

 

[Kautium]

Näkisin älylaitteiden olevan ongelmista nimenomaan se suurin johon voidaan vaikuttaa. Älylaitteet ovat hyvänä apuna opiskelussa, mutta samalla keskittyminen voi mennä aivan muualle ja oppiminen vaikeutua. Tämän takia opetushallituksen tulisi kehittää turvallisia "oppimistila"-sovelluksia tämän ongelman ratkomiseen.

Älylaitteiden aiheuttamia negatiivisia lieveilmiöitä ei ole kielletty, mutta ne ovat vain pieni osa tässä yhtälössä. Korjaus pitää tehdä korkeammalla tasolla opetusprosessissa kuin hinkkaamalla yksittäisiä lillukanvarsia. Ja tosiaan niitä oppilaiden henkilökohtaisia laitteita ei voi opetushallitus tai mikään muukaan viranomaisinstanssi missään tilanteessa alkaa sohimaan, se on päivänselvä asia muualla paitsi jossakin Kiinassa.

Ja kuten jo todettiin, siihen alunperin esittämääsi ongelmaan on jo olemassa useita erilaisia ratkaisuja, eli ne vaan pitää ottaa käyttöön, jos se koetaan tarpeelliseksi.

 

[Yann]

Älylaitteiden aiheuttamia negatiivisia lieveilmiöitä ei ole kielletty, mutta ne ovat vain pieni osa tässä yhtälössä. Korjaus pitää tehdä korkeammalla tasolla opetusprosessissa kuin hinkkaamalla yksittäisiä lillukanvarsia. Ja tosiaan niitä oppilaiden henkilökohtaisia laitteita ei voi opetushallitus tai mikään muukaan viranomaisinstanssi missään tilanteessa alkaa sohimaan, se on päivänselvä asia muualla paitsi jossakin Kiinassa.

Ja kuten jo todettiin, siihen alunperin esittämääsi ongelmaan on jo olemassa useita erilaisia ratkaisuja, eli ne vaan pitää ottaa käyttöön, jos se koetaan tarpeelliseksi.

Voisiko olla joku verkkosivu-tyyppinen ratkaisu, jossa olisi kaikki oppilaan tarvitsema samalla verkkosivulla ja jos siitä poistuisi kesken tunnin tulisi äänimerkki opettajalle?

 

[Kautium]

Voisiko olla joku verkkosivu-tyyppinen ratkaisu, jossa olisi kaikki oppilaan tarvitsema samalla verkkosivulla ja jos siitä poistuisi kesken tunnin tulisi äänimerkki opettajalle?

Edelleen tähän on jo olemassa vaikka mitä ratkaisuja. Koulut soveltavat niitä omien tarpeidensa mukaan. Omat laitteet ovat sitten omia, ne eivät tähän liity.

 

[tjkoo]

Voisiko olla joku verkkosivu-tyyppinen ratkaisu, jossa olisi kaikki oppilaan tarvitsema samalla verkkosivulla ja jos siitä poistuisi kesken tunnin tulisi äänimerkki opettajalle?

Miten sä luulet että opettaja puuttuisi tilanteeseen kuultuaan sen äänimerkin kun ei meinaa saada edes kännyköitä pois kädestä?

 

[Yann]

Edelleen tähän on jo olemassa vaikka mitä ratkaisuja. Koulut soveltavat niitä omien tarpeidensa mukaan. Omat laitteet ovat sitten omia, ne eivät tähän liity.

Tähän kaipaisin ylemmän tason (opetushallitus) ratkaisua tai ohjeistusta. Älylaite voi olla myös tärkeä oppimisväline.

 

[Yann]

Miten sä luulet että opettaja puuttuisi tilanteeseen kuultuaan sen äänimerkin kun ei meinaa saada edes kännyköitä pois kädestä?

jälki-istuntoa

 

[pulatunnus]

Tuollainen ei varsinaisesti ole käyttöjärjestelmän tehtävä, vaikka joku tällainen voisi siellä lisukkeena ollakin. Tuollaiset tarpeet koskevat kuitenkin vain rajoitettua kohderyhmää ja ne voi hoitaa erillisellä kolmannen osapuolen ohjelmalla, tai rajaamalla sovellusten toimintoja muita keskitettyjä hallintamenetelmiä käyttäen.

Vai kuuloko sittenkin käyttöjärjestelmälle, ja niissähän nimenomaan on tuet säännöille ja hallittavuudelle.
Ylläpito määrittää sallitut ohjelmat ja palomuurit, jälkimmäinen voi myös olla siinä verkossa mihin laite kytketty.

Merkkiäänet ja uudelleen käynnistys, niiden ajatus ei oikein avautunut mitä niillä haetaan

Käyttöjärjestelmiin pitäisi kaikkiin saada joku "opiskelutila", jolloin vain opiskeluissa tarvittavat ohjelmat toimisivat ja nettisivuja (esim. facebook) rajoitettaisiin. Tämä tila voisi kestää 1-5 tuntia. Tilan saisi pois käynnistämällä laitteen uudelleen, mutta tällöin kuuluisi merkkiääni, jonka opettaja kuulisi.

Koulujen tietokoneet on tai voisi olla ihan hallinnassa, ja ihan käyttäjä (ryhmä) kohtaisilla säännöillä, ja ihan jatkuva tila, en ihan hoksaa mitä ajastuksella ja uudelleen käynnistyksellä haetaan.

Juttu hyppäsi puhelimien käyttöjärjestelmiin niin ihan sama siellä, mutta puhelimia vähemmän kouluilla, tablet tietokoneita kylläkin, mutta jos koulu vähänkään ajantasalla, niin hallinnassa pitäisi olla.

 

[Kingofflies]

Tässä Sompin trollausväitteitä upottaessa ei ole etinyt edes miettiä otsikon aihetta! Asiaan-> Autojen hallintalaitteet ja niiden digitalisointi on mennyt överiksi. Tesla taitaa olla innokkain tässä. Volkswagen on ilmeisesti nöyrtynyt ja ottaa takapakki ja palauttaa mekaanisia hallintalaitteita. Voin olla boomeri (olenkin), mutta vähäsen epäilyttää ajoturvallisuuden kannalta, että on viety usein käytettäviä toiminnallisuuksia siihen kosketusnäyttöön. Joo, varmasti ne on helpon polun takana siellä. Mutta silti uskoisin lihasmuisti mekaanisille hallintalaitteille syntyy paljon helpommin(?)
e: Paljon typoja

 

[Antw]

Mutta silti uskoisin lihasmuisti mekaanisille hallintalaitteille syntyy paljon helpommin

Ehdottomasti näin. Vähäkin hierarkkisten kosketusnäyttöjen käyttö ajon aikana on yllättävän haastavaa, ja jopa vaarallista.

 

[Paapaa]

Mutta silti uskoisin lihasmuisti mekaanisille hallintalaitteille syntyy paljon helpommin(?)

Samaa mieltä, mutta tämä ei välttämättä liity digitalisaatioon lainkaan. Eli siis sulla voi olla täysin digitaalinen järjestelmä, jota ohjataan mekaanisilla kytkimillä ilman, että tarvitsee tuijottaa mihin koskee. Kosketusnäytöt ovat monessa suhteessa todella paljon huonompia kuin mekaaniset (mutta digitaaliset) kytkimet tai pyöritettävät rullat jne. Näitähän on tungettu vaikka mihin. Erityisen huonoja ne ovat niissä kohteissa, joissa pitäisi oikeasti saada tehtyä jotain ilman että pitää tuijottaa mihin sormensa tökkää kuten juuri esim. auto.

MacBookin TouchBarkin floppasi pahasti, koska perinteisen näppäimistön pointti on se, että sitä ei tarvitse katsoa kun sitä käyttää. Uusissa tuota pasketta ei enää ole, vaan mekaaniset F-nappulat. En jäänyt kaipaamaan.

 

[Kingofflies]

Samaa mieltä, mutta tämä ei välttämättä liity digitalisaatioon lainkaan. Eli siis sulla voi olla täysin digitaalinen järjestelmä, jota ohjataan mekaanisilla kytkimillä ilman, että tarvitsee tuijottaa mihin koskee. Kosketusnäytöt ovat monessa suhteessa todella paljon huonompia kuin mekaaniset (mutta digitaaliset) kytkimet tai pyöritettävät rullat jne. Näitähän on tungettu vaikka mihin. Erityisen huonoja ne ovat niissä kohteissa, joissa pitäisi oikeasti saada tehtyä jotain ilman että pitää tuijottaa mihin sormensa tökkää kuten juuri esim. auto.

MacBookin TouchBarkin floppasi pahasti, koska perinteisen näppäimistön pointti on se, että sitä ei tarvitse katsoa kun sitä käyttää. Uusissa tuota pasketta ei enää ole, vaan mekaaniset F-nappulat. En jäänyt kaipaamaan.

Joo, kiitos oikaisusta. Ei välttämättä liity digitalisaatioon, vaikka melkein. Mekaaniset hallintalaitteet ja CAN-väylä piilottaa vähän tätä digitaalisuus-probleemaa. Mutta joka tapauksessa dedikoidut hallintalaitteet jää lihasmuistiin. Vilkku toimii tästä, ilmastointi tästä, penkinlämmitin tästä. Kaikki on siinä paikassa, missä olettaa. Eli vaikka olisikin digitaalista, emuloidaan tehokkaasti vanhaa analogista maailmaa

Vaihtoehtona: Kosketusnäytön kanssa pitää tietää missä tilassa ollaan, ja missä mikäkin näppäin sijaitsee.
Pitääkö meidän tehdä uusi thread käyttöliittymien ongelmille, vai voisiko tämä murheeni vielä sopia tähän digitalisaation ongelmiin?

 

[love_doctor]

Joo, kiitos oikaisusta. Ei välttämättä liity digitalisaatioon, vaikka melkein. Mekaaniset hallintalaitteet ja CAN-väylä piilottaa vähän tätä digitaalisuus-probleemaa. Mutta joka tapauksessa dedikoidut hallintalaitteet jää lihasmuistiin. Vilkku toimii tästä, ilmastointi tästä, penkinlämmitin tästä. Kaikki on siinä paikassa, missä olettaa. Eli vaikka olisikin digitaalista, emuloidaan tehokkaasti vanhaa analogista maailmaa

Vaihtoehtona: Kosketusnäytön kanssa pitää tietää missä tilassa ollaan, ja missä mikäkin näppäin sijaitsee.

Näen itse, että kosketusnäytöt ovat osa digitalisaatiota. Perinteiset kytkimet ovat sähkömekaanisia joo ja mikrokytkimellä voi ohjata digitaalista GPIO-linjaa suoraankin, mutta kosketusnäytössä sekä kuvan näyttö että kosketuksen rekisteröinti edellyttävät näissä laitteissa digitaalista järjestelmää. Periaatteessa kosketusnäyttö voisi olla analoginenkin. Kuitenkin siihen liittyvät ongelmat korostuvat täysin digitaalisessa ratkaisussa.

Yksi vielä mainitsematon niihin liittyvä ongelma on laitteen hajoaminen. Ajatellaan että teet vaikka paniikkijarrutuksen ja takapenkiltä lentää esine Teslan "tablettiin". Ajaminen muuttuu hankalaksi, jos ei näe enää edes millä nopeudella auto kulkee. Toinen ongelma on kustannusten nousu. Moni suomalainen ajaa halvemmalla autolla kuin mitä digitaalinäytön korjaus maksaisi. Hinta on tarpeettoman kova kun miettii, että markkinoilta saa kyllä näyttöjä edullisemminkin. Digitalisaatioon kytkeytyy vahvasti valmistajien halu tehdä korjaaminen kalliiksi ja vaikeaksi. Näyttö voisi vaatia esim. parituksen, joka maksaisi huollossa saman kuin uusi näyttö, mikä tekisi DIY-korjaamisesta kannattamattoman.

 

[Themadesuja]

Näkisin älylaitteiden olevan ongelmista nimenomaan se suurin johon voidaan vaikuttaa. Älylaitteet ovat hyvänä apuna opiskelussa, mutta samalla keskittyminen voi mennä aivan muualle ja oppiminen vaikeutua. Tämän takia opetushallituksen tulisi kehittää turvallisia "oppimistila"-sovelluksia tämän ongelman ratkomiseen. Älylaite voi olla myös oppimisväline.

Koko koulun alueen kattava 4G/5G jammeri tulille, ja pelkästään oppilaskäyttöön tarkoitettu WiFi-verkko mistä on blokattu esim. TikTokin ja pikaviestinpalveluiden / somejen palvelinyhteydet yms. turhakkeet. Tietty sitten teknisesti osaavien keskittyminen menisi opiskelun sijaan tuon systeemin kräkkäämiseen avoimeksi.

 

[Francis Ford Mondeo]

Koko koulun alueen kattava 4G/5G jammeri tulille, ja pelkästään oppilaskäyttöön tarkoitettu WiFi-verkko mistä on blokattu esim. TikTokin ja pikaviestinpalveluiden / somejen palvelinyhteydet yms. turhakkeet. Tietty sitten teknisesti osaavien keskittyminen menisi opiskelun sijaan tuon systeemin kräkkäämiseen avoimeksi.

Koulun läheisyydessä asuvat, työskentelevät ja muuten asioivat varmasti kiittävät. Puhumattakaan muista ongelmista, mitä keskeisillä paikoilla mustia aukkoja luovat jammerit saavat aikaan.

Koulun henkilökunnalle isommat valtuudet puuttua häiriökäytökseen varmaan realistisempi vaihtoehto.

 

[Kautium]

Koko koulun alueen kattava 4G/5G jammeri tulille, ja pelkästään oppilaskäyttöön tarkoitettu WiFi-verkko mistä on blokattu esim. TikTokin ja pikaviestinpalveluiden / somejen palvelinyhteydet yms. turhakkeet. Tietty sitten teknisesti osaavien keskittyminen menisi opiskelun sijaan tuon systeemin kräkkäämiseen avoimeksi.

Koulu voi kieltää älylaitteiden räveltämisen tuntien aikana. Ei siihen tarvitse mitään muita ihmeellisiä vippaskonsteja viritellä, jotka sitten pahimmillaan estävät monta muuta ihan järkevää asiaa.

Ongelma niiden kanssa ei ole pelkästään omissa laitteissa ja somepalveluissa, vaan siinä että ylipäätään päiväkodista lähtien työnnetään naaman eteen mitä tahansa tablettia ja läppäriä typerääkin typerämmillä opetussoftilla ja kuvitellaan, että lapsi on valmis oppimaan ja kehittymään paremmin pelkästään siksi, että edessä on sen boomer-opettajan mielestä hieno ja edistyksellinen konsepti.

Alla tähän aiheeseen liittyen 23 minuuttia -sarjan maino jakso joulukuulta, jossa aiemminkin ketjussa linkitetty tutkija Aino Saarinen avaa tarkemmin suomalaisen koululaitoksen ongelmia ja siitä kuinka siellä ideologia on sivuuttanut tutkimustiedon ja terveen järjen. Myös näitä älylaitteita käsitellään.

 

[Paapaa]

Näen itse, että kosketusnäytöt ovat osa digitalisaatiota.

Ei ne kyllä taida olla ainakaan sillä määritelmällä jonka itse digitalisaatiolla ymmärrän. Aivan kuten mekaaninen tietokoneen näppis ei vähennä digitalisaatiota, ei kosketusnäyttö sitä lisää. Kummatkin ovat tapoja kontrolloida sitä digitalisaation seurauksena syntynyttä laitetta, jolla käytetään digitalisaation seurauksena syntyneitä palveluita.

Eli fyysinen liike muutetaan digitaaliseksi käyttäjäsyötteeksi. Tapoja on monia ja kapasitiivinen pinta on yksi, kytkin on toinen ja miljoona muuta.

 

[love_doctor]

Ei ne kyllä taida olla ainakaan sillä määritelmällä jonka itse digitalisaatiolla ymmärrän. Aivan kuten mekaaninen tietokoneen näppis ei vähennä digitalisaatiota, ei kosketusnäyttö sitä lisää. Kummatkin ovat tapoja kontrolloida sitä digitalisaation seurauksena syntynyttä laitetta, jolla käytetään digitalisaation seurauksena syntyneitä palveluita.

Eli fyysinen liike muutetaan digitaaliseksi käyttäjäsyötteeksi. Tapoja on monia ja kapasitiivinen pinta on yksi, kytkin on toinen ja miljoona muuta.

Siis Wikipedian artikkelista: "Digitalisaatio tai digitalisoituminen tarkoittaa digitaalisen tietotekniikan yleistymistä arkielämän toiminnoissa."

Jos vaikka autoa miettii, Teslassa hansikaslokero aukeaa tabletista. Aiemmin mekaanisesti vivusta. Tuuletusräppänät olivat myös 100% mekaanisia edellisessä 2000-luvun alkupuolen autossani. Nykyisin niitä ohjataan digitaalitekniikalla. Tietenkään kosketusnäyttö ei ole niin radikaali muutos, jos vertaa vaikka vuotta vanhempaan automalliin, jossa olisi ollut vielä fyysiset napit. Kummassakin samat väylät ja digisysteemit ohjaavat laitteita. Mutta ei tarvi montaa vuotta mennä taaksepäin, kun halvimmissa autoissa perusvarustelulla samoja toimintoja oli vielä ei-digitaalisesti. Tarkoitin vaan toisin päin, että fyysinen nappi ei implikoi välttämättä, että on digitaalista, mutta kosketusnäytön ollessa käytössä on aivan varmasti kyseinen tekniikka myös digitalisoitu.

 

[Sompi]

Edellisessä käyttöautossa oli sähköikkunat ja joka ajokerralla kesällä unohdin ne ajon jälkeen aina alas virrat jo sammutettuani. Sitten piti laittaa virrat takaisin päälle avaimesta, jotta ikkunat sai ylös. Sen lisäksi noiden sähköikkunoiden kanssa on aina jatkuva pelko siitä, että paska hajoaa. Nykyisessä autossa on veivit, mikä on sekä käytettävämpi että stressittömämpi vaihtoehto.

 

[JCSH]

Ei taida nyt kuitenkaan se, että onko sähkötoimiset vai veivattavat ikkunat, kuulua ketjuun nimeltä "Digitalisaatio... ".

 

[Antw]

Edellisessä käyttöautossa oli sähköikkunat ja joka ajokerralla kesällä unohdin ne ajon jälkeen aina alas virrat jo sammutettuani. Sitten piti laittaa virrat takaisin päälle avaimesta, jotta ikkunat sai ylös. Sen lisäksi noiden sähköikkunoiden kanssa on aina jatkuva pelko siitä, että paska hajoaa. Nykyisessä autossa on veivit, mikä on sekä käytettävämpi että stressittömämpi vaihtoehto.

Voit jatkaa kasari-/ysäriautojen ihannointia jossain autoketjuassa. Tänne tämä ei kuulu.

 

[Juha Kokkonen]

Edellisessä käyttöautossa oli sähköikkunat ja joka ajokerralla kesällä unohdin ne ajon jälkeen aina alas virrat jo sammutettuani. Sitten piti laittaa virrat takaisin päälle avaimesta, jotta ikkunat sai ylös. Sen lisäksi noiden sähköikkunoiden kanssa on aina jatkuva pelko siitä, että paska hajoaa. Nykyisessä autossa on veivit, mikä on sekä käytettävämpi että stressittömämpi vaihtoehto.

Väärä ketju ja alue autojen sähköikkunoista keskustelemiseen, kuten tuossa yllä jo asiallisesti ohjeistettiinkin.

 

[Sompi]

Savonia AMK:n digitalisaatiosekoilu oli ehkä merkittävin syy, miksi alun perin tein tämän keskusteluketjun. Poliisi olikin keskeyttänyt Savonian tietomurron tutkinnan melkein heti tutkinnan alettua: Poliisi on keskeyttänyt Savonia-ammattikorkeakoulun tietomurron tutkinnan – henkilötietoja vietiin helmikuussa noin 700 opiskelijalta

Tällainenkin vain pellemaailmassa mahdollinen uutinen tuli aiheesta vastaan: Savonialle myönnettiin Digiturvateko-tunnustus

Savonia-AMK sai siis "Digiturvateko-tunnustuksen" siitä, miten hyvin se on tietoturva-asiansa hoitanut. Faktahan on, että tuon julki tulleen tietomurron jälkeen on kaikessa menty vain entistäkin huonompaan suuntaan.

Tämä "Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä" näyttäisi olevan valtiovarainministeriön alainen työryhmä, jonka kokouspöytäkirjat ovat luettavissa valtiovarainministeriön sivuilla: Digitaalisen turvallisuuden strateginen johtoryhmä - Valtiovarainministeriö

Jostain syystä kokouksia ei ole enää vuonna 2023 pidetty (tai kokouspöytäkirjoja ei jostain syystä ole tuonne julkaistu), vaikka vuoden 2022 viimeisessä kokouksessa kyllä on suunniteltu tulevan vuoden kokoukset. Tuolla työryhmässä kokoontuu mm. puolustusministeriön ylijohtaja, liikenne- ja viestintäministeriön kyberturvallisuusjohtaja, Huoltovarmuuskeskuksen varautumispäällikkö ja muita melko tärkeän tason virkamiehiä. Kokoukset käydään etänä Skypessä ulkomaisten tiedustelupalveluiden katsellessa. Kokouspöytäkirjat kuitenkin ovat sen verran kampaviinerintuoksuista tavaraa, että ehkäpä tuolla ei (onneksi) mitään kovin arkaluonteisia asioita paljasteta, vaikka kaikkea ei kokouspöytäkirjoihin ole tarkasti kirjoitettukaan.

 

[Paapaa]

Savonia-AMK sai siis "Digiturvateko-tunnustuksen" siitä, miten hyvin se on tietoturva-asiansa hoitanut.

Ei, vaan se sai tunnustuksen siitä, miten se hoiti asiansa tietomurron JÄLKEEN. Perusteluissa lukee:

Tunnustuksen perusteluna on Savonia-ammattikorkeakoulun esimerkillinen ja avoin viestintä kyberhyökkäyksestä.

Savonia kertoi kyberhyökkäyksestä ja sen hallinnasta Digiturvaviikolla 11.10. Suoraa lähetystä ja tallennetta on tähän mennessä katsottu yli 2 500 kertaa, ja kokemuksen avoimesta jakamisesta on saatu runsaasti kiittävää palautetta. Toivottavasti tämän esimerkin avulla pystytään estämään vastaavanlaisten hyökkäysten onnistumisia tai pienentämään niiden vaikutuksia.

Kuulostaa todella hyvältä ja tuon soisi yleistyvän.

 

[Drinkkeri]

Savonia AMK:n digitalisaatiosekoilu oli ehkä merkittävin syy, miksi alun perin tein tämän keskusteluketjun. Poliisi olikin keskeyttänyt Savonian tietomurron tutkinnan melkein heti tutkinnan alettua: Poliisi on keskeyttänyt Savonia-ammattikorkeakoulun tietomurron tutkinnan – henkilötietoja vietiin helmikuussa noin 700 opiskelijalta

Tällainenkin vain pellemaailmassa mahdollinen uutinen tuli aiheesta vastaan: Savonialle myönnettiin Digiturvateko-tunnustus

Savonia-AMK sai siis "Digiturvateko-tunnustuksen" siitä, miten hyvin se on tietoturva-asiansa hoitanut. Faktahan on, että tuon julki tulleen tietomurron jälkeen on kaikessa menty vain entistäkin huonompaan suuntaan.

Tämä "Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä" näyttäisi olevan valtiovarainministeriön alainen työryhmä, jonka kokouspöytäkirjat ovat luettavissa valtiovarainministeriön sivuilla: Digitaalisen turvallisuuden strateginen johtoryhmä - Valtiovarainministeriö

Jostain syystä kokouksia ei ole enää vuonna 2023 pidetty (tai kokouspöytäkirjoja ei jostain syystä ole tuonne julkaistu), vaikka vuoden 2022 viimeisessä kokouksessa kyllä on suunniteltu tulevan vuoden kokoukset. Tuolla työryhmässä kokoontuu mm. puolustusministeriön ylijohtaja, liikenne- ja viestintäministeriön kyberturvallisuusjohtaja, Huoltovarmuuskeskuksen varautumispäällikkö ja muita melko tärkeän tason virkamiehiä. Kokoukset käydään etänä Skypessä ulkomaisten tiedustelupalveluiden katsellessa. Kokouspöytäkirjat kuitenkin ovat sen verran kampaviinerintuoksuista tavaraa, että ehkäpä tuolla ei (onneksi) mitään kovin arkaluonteisia asioita paljasteta, vaikka kaikkea ei kokouspöytäkirjoihin ole tarkasti kirjoitettukaan.

Tietomurtoa on melko hankala tutkia jos mitään tutkittavaa ei ole kuten tuossa uutisessa käy ilmi.

"On hyvin epätodennäköistä, että tekijä saataisiin kiinni. Mahdollista se silti on: meillä on vielä tietomurtoon liittyviä tietopyyntöjä vetämässä kansainvälisten yhteistyöverkostojen kautta eli lähinnä Europolin suuntaan, kertoo rikoskomisario Mikko Hakkarainen Itä-Suomen poliisilaitokselta.

Tutkintaa voitaisiin taas jatkaa, jos esimerkiksi tietopyyntöjen kautta saataisiin uusia mahdollisuuksia tutkinnan etenemiseen."

Savonia sai tunnustuksen näillä perustein, joten mitään kovin kummallista en näe tässä. Varsinkin jos verrataan mm. Vastaamon tietovuotoon.

"Savoniaan kohdistui helmikuussa tietomurto, jonka yhteydessä tietoja vuodettiin anonyymiverkkoon. Tunnustuksen perusteluna on Savonia-ammattikorkeakoulun esimerkillinen ja avoin viestintä kyberhyökkäyksestä".

Skypen liikenne on salattua päästä päähän ja todennäköisesti tietoturvariski on katsottu niin olemattomaksi ääritapauksessakin, että kokouksia voidaan siellä pitää. Jos vierasta valtaa kiinnostaa vakoilla niin se vakoilee vaikka kokoushuoneessa.

 

[Sompi]

Ei, vaan se sai tunnustuksen siitä, miten se hoiti asiansa tietomurron JÄLKEEN. Perusteluissa lukee:



Kuulostaa todella hyvältä ja tuon soisi yleistyvän.

Sitä videota näyttäisi olevan katsottu 498 kertaa Youtuben laskurin mukaan. Ei 2500 kertaa, kuten väitetään.

 

[Vaateri]

Sitä videota näyttäisi olevan katsottu 498 kertaa Youtuben laskurin mukaan. Ei 2500 kertaa, kuten väitetään.

”Suoraa lähetystä ja tallennetta on tähän mennessä katsottu yli 2 500 kertaa, ”

Näkyykö Youtuben laskurissa suoran lähetyksen katsojien määrä?

 

[Sompi]

Koko esitys on katsottavissa täältä: 2022-10-11 Digiturvaviikon tiistai aamupäivä – Kodin digiturva kuntoon! - DVV - Digiturvaviikko 2022

Muutamia huomioita:

- Virallisen totuuden mukaan hyökkääjä on päässyt sisään ujuttamalla opiskelijan tietokoneeseen keylogger-ohjelma, jolla hyökkääjä on saanut opiskelijan oman tunnuksen ja salasanan hallintaansa.

- Koska Savonia on digitalisoinnin edelläkävijä, niin koulussa on tietysti käytössä kaikenlaista useista eri firmoista ostettua IoT-teknologiaa.

- Hyökkääjä oli päässyt sisään Citrix-etätyöpöytäpalvelimen kautta opiskelijan tunnuksia hyödyntäen. Citrix on erityisen tunnettu hyvästä tietoturvastaan ja siitä, ettei siinä ole ikinä mitään käyttöoikeuksien kohottamisen sallivia haavoittuvuuksia. [/sarcasm] Digitalisoinnin edelläkävijänä Savonia ei tietenkään voi käyttää mitään vapaan koodin VNC-etätyöpöytäpalvelinta, koska sehän olisi vanhanaikaista.

- Hyökkääjä on koulun sisäverkkoon päästyään alkanut kaivelemaan sisäverkossa olleita laitteita ja löytänyt älylääkevaunun, jonka kautta hyökkääjä on saanut käyttöoikeuspalvelimen pääkäyttäjätunnuksen haltuunsa.

- Älylääkevaunun valmistaja on vakuutellut koulun IT-työntekijöille, että laitteeseen tallennetut salasanat ovat "kryptattuja" ja laite on sen takia täysin tietoturvallinen. Jälkeenpäin on ilmennyt "kryptauksen" tarkoittavan sitä, että salasana on tallennettu laitteessa olleeseen asetustiedostoon yksinkertaisena 8-bittisten heksadesimaalilukujen ASCII-esitysten sarjana, jossa jokainen heksadesimaaliluku esittää salasanan yksittäisen merkin ASCII-lukuarvoa. (Kohta 1:05:00)

- Älylääkevaunun normaali toimiminen on kuitenkin edellyttänyt sitä, että älylääkevaunu pääsee automaattisesti kirjautumaan koulun järjestelmiin. Herää kysymys, miten älylääkevaunun on ajateltu ylipäätään toimivan, jos kirjautumistunnukset eivät ole jossain selkokieliseksi purettavassa muodossa sen (massa)muistissa.

- Suurin osa hakkerin varastamista tiedoista on ollut GDPR-lainsäädännön mukaan sellaista, ettei Savonialla olisi pitänyt olla kyseisiä tietoja hallussaan alun perinkään.

- Heti tietomurron jälkeen kaikki henkilöstön välinen kommunikointi on siirretty tietoturvastaan tunnettuihin [/sarcasm] Whatsappiin ja Teamsiin, etteivät hakkerit vakoile.

- Samanlaisten tietomurtojen tapahtuminen jatkossa on estetty hankkimalla lisää proprietary-ohjelmia, joilla myös kaksivaiheinen tunnistautuminen jatkossa toteutetaan. Tekstiviesti ei siis enää kelpaa kaksivaiheisen tunnistautumisen menetelmäksi.

- Poliisi ei saanut tietomurron tekijää selville. Tutkinta lopetettiin melkein heti sen alettua. Kohdassa 1:35:00 Savonian kyberturvallisuuspäällikkö kertoo, että Bitlocker-ohjelma ei tartu tietokoneisiin, joissa on venäläinen näppäinjärjestys käytössä, ja että "hyökkäysvektoreista yhtään kappaletta ei tullut Venäjältä", mikä ilmeisesti implikoi Putinin hakkeriarmeijan olevan tietomurtoon syypää.

Aika moni asia tuossa selityksessä ei vain käy järkeen.

 

[pulatunnus]

Digitalisoinnin edelläkävijänä Savonia ei tietenkään voi käyttää mitään vapaan koodin VNC-etätyöpöytäpalvelinta, koska sehän olisi vanhanaikaista.
....
Aika moni asia tuossa selityksessä ei vain käy järkeen.

Kiitos tiivistyksestä. perus VNC kai hyljitty ihan sen takia ettei sinänsä tarjoa tietoturvaa. ei tarvi keylogger ohjelmia.

Mutta kai esimerkki siitä että tietoturvassa ei voi nojata siihen että ulkokuori pitää.

 

[Frankie]

Jälleen nähtiin, että tietoturvan heikoin lenkki on ihminen. Tässä tapauksessa se opiskelija, joka on toheloinut sen keyloggerin koneeseensa.

 

[Sompi]

Unohtui tuosta omasta listauksesta, että myös tietomurtojen tapahtumista jatkossa ehkäistään myös niin, että salasanojen pitää nykyään sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Toistetaan siis 90-luvun tietoturvapöhinän virheet tässäkin. Kyllä joku hevosenkyrpaep1llukusipaskavittu123 on paljon parempi salasana kuin joku a^E19dgS, ja myös helpompi muistaa. Lisäksi ne erikoismerkit eivät välttämättä löydy kaikista näppäimistöistä tai näppäinkartoista.

 

[Frankie]

Unohtui tuosta omasta listauksesta, että myös tietomurtojen tapahtumista jatkossa ehkäistään myös niin, että salasanojen pitää nykyään sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Toistetaan siis 90-luvun tietoturvapöhinän virheet tässäkin. Kyllä joku hevosenkyrpaep1llukusipaskavittu123 on paljon parempi salasana kuin joku a^E19dgS, ja myös helpompi muistaa. Lisäksi ne erikoismerkit eivät välttämättä löydy kaikista näppäimistöistä tai näppäinkartoista.

Miten tuo auttaa, kun käyttäjä on niin huolimaton, että saa koneeseensa keyloggerin?

 

[Sompi]

Jälleen nähtiin, että tietoturvan heikoin lenkki on ihminen. Tässä tapauksessa se opiskelija, joka on toheloinut sen keyloggerin koneeseensa.

Haittaohjelmat voivat asentua haavoittuviin koneisiin ilmankin, että käyttäjä itse tekee mitään. Tässä viestiketjussa aiemmin linkkasin artikkelin Android-puhelinten zero-click-haavoittuvuuksista, mutta moderaattori poisti sen viestin. Tässä ainakin joku IRCissä vastaantullut pitkähkö artikkeli tekstiviestin kautta automaattisesti asentuvasta malwaresta: A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution

 

[JCSH]

Jälleen nähtiin, että tietoturvan heikoin lenkki on ihminen. Tässä tapauksessa se opiskelija, joka on toheloinut sen keyloggerin koneeseensa.

Nähdään myös minkä takia se hyvin toimiva MFA on niin tärkeä nykyaikaisessa tietoturvassa.

 

[Frankie]

Nähdään myös minkä takia se hyvin toimiva MFA on niin tärkeä nykyaikaisessa tietoturvassa.

Jep, tuo on totta.

 

[Kingofflies]

Unohtui tuosta omasta listauksesta, että myös tietomurtojen tapahtumista jatkossa ehkäistään myös niin, että salasanojen pitää nykyään sisältää isoja ja pieniä kirjaimia, numeroita sekä erikoismerkkejä. Toistetaan siis 90-luvun tietoturvapöhinän virheet tässäkin. Kyllä joku hevosenkyrpaep1llukusipaskavittu123 on paljon parempi salasana kuin joku a^E19dgS, ja myös helpompi muistaa. Lisäksi ne erikoismerkit eivät välttämättä löydy kaikista näppäimistöistä tai näppäinkartoista.

Huomaa kuinka pihalla olet tietoturvasta.

Ei erikoismerkkien tarvi mistään näppäimistöistä tai näppäinkartoista löytyä. Hyökkääjät käyttävät salasanalistoja. EI suomen kielen merkit mikään varma turvautumiskeino ole, vaikkakin parantaa tietoturvaa. Jos (=kun) salasanalistalla on "salasasana", siellä taatusti on ääkkösiä sisältäviä stringejä. Tutustu miten vaikkapa Hashcatissa pystyy käyttämään sanalistoja ja ruleja ja niiden kombinaatioita.

" Älylääkevaunun normaali toimiminen on kuitenkin edellyttänyt sitä, että älylääkevaunu pääsee automaattisesti kirjautumaan koulun järjestelmiin. Herää kysymys, miten älylääkevaunun on ajateltu ylipäätään toimivan, jos kirjautumistunnukset eivät ole jossain selkokieliseksi purettavassa muodossa sen (massa)muistissa. "
Krhm..ei noissa autentikaatioissa yleensä kirjautumistunnuksia käytetä, vaan niiden hasheja, jotka ei ole purettavassa muodossa, kunhan salasanat riittävän hyviä. Hasheja sitten verrataan keskenään. Toki tämä mahdollistaa "pass with the hash" -hyökkäykset, mutta se onkin eri juttu.

 

[Sompi]

Huomaa kuinka pihalla olet tietoturvasta.

Ei erikoismerkkien tarvi mistään näppäimistöistä tai näppäinkartoista löytyä. Hyökkääjät käyttävät salasanalistoja. EI suomen kielen merkit mikään varma turvautumiskeino ole, vaikkakin parantaa tietoturvaa. Jos (=kun) salasanalistalla on "salasasana", siellä taatusti on ääkkösiä sisältäviä stringejä. Tutustu miten vaikkapa Hashcatissa pystyy käyttämään sanalistoja ja ruleja ja niiden kombinaatioita.

" Älylääkevaunun normaali toimiminen on kuitenkin edellyttänyt sitä, että älylääkevaunu pääsee automaattisesti kirjautumaan koulun järjestelmiin. Herää kysymys, miten älylääkevaunun on ajateltu ylipäätään toimivan, jos kirjautumistunnukset eivät ole jossain selkokieliseksi purettavassa muodossa sen (massa)muistissa. "
Krhm..ei noissa autentikaatioissa yleensä kirjautumistunnuksia käytetä, vaan niiden hasheja, jotka ei ole purettavassa muodossa, kunhan salasanat riittävän hyviä. Hasheja sitten verrataan keskenään. Toki tämä mahdollistaa "pass with the hash" -hyökkäykset, mutta se onkin eri juttu.

Sinä olet pihalla, en minä. Sen lisäksi, että et ymmärtänyt viestiäni (tai ymmärsit sen tahallasi väärin), niin et ymmärrä, miten salasanojen arvaaminen brute forcella toimii.

Salasanat arvataan joko merkki kerrallaan (jota vastaan lyhyet salasanat ovat heikkoja riippumatta siitä, onko niissä erikoismerkkejä vai ei) tai sana kerrallaan (jota vastaan pitkä salasana on heikko vain, jos se koostuu pelkästään ehjistä ja muuntelemattomista suomen kielen sanoista.

Sen sijaan jos salasana koostuu esimerkiksi sanoista, joista ainakin osaa on muutettu juuri sen verran että niitä ei löydy mistään sanalistasta, niin sellaista salasanaa on varsin hankalaa arvata brute forcella.

Joskus ysärillä, kun brute forcettaminen oli vielä hidasta, se erikoismerkkien lisääminen muuten lyhyeen salasanaan riitti hyvin. Se ei kuitenkaan ole enää pitkiin aikoihin ollut toimiva keino lisätä salasanan turvallisuutta.

Ja tietenkään salasanassa ei kannata käyttää merkkejä, joita ei välttämättä kaikilta näppäimistöiltä löydy.

Sillä ei ole merkitystä, tapahtuuko se lääkevaunun ohjelmiston tekemä automaattinen kirjautuminen koulun muihin järjestelmiin käyttäjätunnus+salasana-yhdistelmällä, niiden hashilla vaiko vaikka jollain tokenilla. Ne ovat kuitenkin käytännön tasolla sama asia eikä se vaikuta itse kirjautumistapahtuman toimintaan mitenkään. Periaate kuitenkin on, että annetaan joku merkkijono (tai kaksi merkkijonoa käyttäjätunnus+salasana-yhdistelmän tapauksessa) ja kirjautuminen sitten joko hyväksytään tai ei hyväksytä. Joka tapauksessa se kirjautumiseen käytettävä tunnus ei voi olla "kryptattuna" siellä vaunun (massa)muistissa, koska se pitää jotenkin saada purettua sieltä ilman että se kryptauksen purkuavain syötetään siihen mistään ulkopuolelta.

Noissa koulun IT-systeemeissä on kyllä sen verran reilusti hyökkäyspinta-alaa, että ihmettelen, miten on päädytty lopputulokseen, että hakkeri olisi päässyt sisään juuri tuon älylääkevaunun kautta.

 

[Kingofflies]

Sinä olet pihalla, en minä. Sen lisäksi, että et ymmärtänyt viestiäni (tai ymmärsit sen tahallasi väärin), niin et ymmärrä, miten salasanojen arvaaminen brute forcella toimii.

Salasanat arvataan joko merkki kerrallaan (jota vastaan lyhyet salasanat ovat heikkoja riippumatta siitä, onko niissä erikoismerkkejä vai ei) tai sana kerrallaan (jota vastaan pitkä salasana on heikko vain, jos se koostuu pelkästään ehjistä ja muuntelemattomista suomen kielen sanoista.

Sen sijaan jos salasana koostuu esimerkiksi sanoista, joista ainakin osaa on muutettu juuri sen verran että niitä ei löydy mistään sanalistasta, niin sellaista salasanaa on varsin hankalaa arvata brute forcella.

Joskus ysärillä, kun brute forcettaminen oli vielä hidasta, se erikoismerkkien lisääminen muuten lyhyeen salasanaan riitti hyvin. Se ei kuitenkaan ole enää pitkiin aikoihin ollut toimiva keino lisätä salasanan turvallisuutta.

Ja tietenkään salasanassa ei kannata käyttää merkkejä, joita ei välttämättä kaikilta näppäimistöiltä löydy.

Olet niin pihalla. Olet sen verran iltasanomia lukenut, että Petteri Järvisen ja Mikko Hyppösen opit on sisäistetty. Ei ne väärin ole, salalause on parempi kuin salasana. Minä puhuin ihan muusta. Esim. tuo lääkekärry-esimerkki, kommentoit sitä digitalisaation ongelmana. Ei. Se olisi ihan hyvin voinut toteuttaa tietoturvallisesti säilömällä sshavaimet tai hashit (miten ja mitenpäin nyt liikennöidäänkään) lokaalisti ja estämällä luvaton lokaali/etäpääsy siihen masiinan. Mutta toki noi on turvattomia, jos tehdään proto-tason laitteita, jossa helppouden takia on salasanat selväkielisinä, kirjautuminen/liikennöinti tapahtuu ties miten. Nämä on ihan ok ja näin ne tehdään kehitysvaiheessa. Tiedän, koska olen suht pitkään toiminut näiden kanssa. Sitten kun julkistetaan, nämä kaikki pitää olla poistettu/tukittu. Tässä voi mennä helposti pieleen, jos ei ole suunnitelmia miten tehdään ja hyviä testejä että toimii kuten pitää. Jonkun verran on tullut opiskeltua ja testattua IoT-laitteiden ja palvelimien tietoturvaa ja IEC62443 ja ISO27001 standardeja . Standardeja ja niihin liittyevien sertifikaattien hakemista. Sikäli sinun perustelemattomat väitteesi särähtävät korvaan.

Mutta jätetään tämä tähän, keksi taas joku uusi mielenkiintoinen aihe, kuten esimerkiksi miten saunan termostaatti pilalla digitalisaation myötä tai muuta hauskaa.

 

[tjkoo]

Olet niin pihalla. Olet sen verran iltasanomia lukenut, että Petteri Järvisen ja Mikko Hyppösen opit on sisäistetty. Ei ne väärin ole, salalause on parempi kuin salasana. Minä puhuin ihan muusta. Esim. tuo lääkekärry-esimerkki, kommentoit sitä digitalisaation ongelmana. Ei. Se olisi ihan hyvin voinut toteuttaa tietoturvallisesti säilömällä sshavaimet tai hashit (miten ja mitenpäin nyt liikennöidäänkään)

Hohhoijaa. Niin kauan kun uskot ssh-avaimiin ja kryptisiin mekanismeihin, olet itse tietoturvariski. Sama pätee myös 2FA:han.

Niin kauan kun on ihmisiä töissä niin se salasana esim. lääketietokantaan on "12eikerrotamuille34" tms vastaavaa.

Menisit edes päiväksi oikeisiin töihin niin et spekuloisi jatkuvasti netissä täysin saavuttamattomia teoria-skenaarioitasi.

 

[Sompi]

Olet niin pihalla. Olet sen verran iltasanomia lukenut, että Petteri Järvisen ja Mikko Hyppösen opit on sisäistetty. Ei ne väärin ole, salalause on parempi kuin salasana. Minä puhuin ihan muusta. Esim. tuo lääkekärry-esimerkki, kommentoit sitä digitalisaation ongelmana. Ei. Se olisi ihan hyvin voinut toteuttaa tietoturvallisesti säilömällä sshavaimet tai hashit (miten ja mitenpäin nyt liikennöidäänkään) lokaalisti ja estämällä luvaton lokaali/etäpääsy siihen masiinan. Mutta toki noi on turvattomia, jos tehdään proto-tason laitteita, jossa helppouden takia on salasanat selväkielisinä, kirjautuminen/liikennöinti tapahtuu ties miten. Nämä on ihan ok ja näin ne tehdään kehitysvaiheessa. Tiedän, koska olen suht pitkään toiminut näiden kanssa. Sitten kun julkistetaan, nämä kaikki pitää olla poistettu/tukittu. Tässä voi mennä helposti pieleen, jos ei ole suunnitelmia miten tehdään ja hyviä testejä että toimii kuten pitää. Jonkun verran on tullut opiskeltua ja testattua IoT-laitteiden ja palvelimien tietoturvaa ja IEC62443 ja ISO27001 standardeja . Standardeja ja niihin liittyevien sertifikaattien hakemista. Sikäli sinun perustelemattomat väitteesi särähtävät korvaan.

Mutta jätetään tämä tähän, keksi taas joku uusi mielenkiintoinen aihe, kuten esimerkiksi miten saunan termostaatti pilalla digitalisaation myötä tai muuta hauskaa.

Sillä tavalla sen saa tietysti suhteellisen turvalliseksi, että palvelimessa on säilöttynä vain asiakkaan (tässä tapauksessa lääkevaunun) julkinen avain ja lääkevaunussa taas sitä vastaava privaattiavain. Silloin tunnuksien varastaminen ei onnistuisi liikennettä salakuuntelemalla tai palvelimeksi tekeytymällä.

Tosin tässä tapauksessa ilmeisesti opiskelijalla oli täysi hallinta lääkevaunuun, joten opiskelija todennäköisesti olisi omilla tunnuksillansa nähnyt sen lääkevaunun privaattiavaimenkin, mikäli tuollaista autentikaatiota olisi lääkevaunun ja palvelimen välillä käytetty.

 

[Paapaa]

Niin kauan kun uskot ssh-avaimiin ja kryptisiin mekanismeihin, olet itse tietoturvariski. Sama pätee myös 2FA:han.

Mitä mahdat tällä tarkoittaa? Miksei SSH-avaimiin (tai yleensä epäsymmetriseen salaukseen) pitäisi uskoa? Mitä ovat "kryptiset mekanismit"?

 

[pulatunnus]

Sinä olet pihalla, en minä. Sen lisäksi, että et ymmärtänyt viestiäni (tai ymmärsit sen tahallasi väärin), niin et ymmärrä, miten salasanojen arvaaminen brute forcella toimii.

Salasanat arvataan joko merkki kerrallaan (jota vastaan lyhyet salasanat ovat heikkoja riippumatta siitä, onko niissä erikoismerkkejä vai ei) tai sana kerrallaan (jota vastaan pitkä salasana on heikko vain, jos se koostuu pelkästään ehjistä ja muuntelemattomista suomen kielen sanoista.

Sen sijaan jos salasana koostuu esimerkiksi sanoista, joista ainakin osaa on muutettu juuri sen verran että niitä ei löydy mistään sanalistasta, niin sellaista salasanaa on varsin hankalaa arvata brute forcella.

Joskus ysärillä, kun brute forcettaminen oli vielä hidasta, se erikoismerkkien lisääminen muuten lyhyeen salasanaan riitti hyvin. Se ei kuitenkaan ole enää pitkiin aikoihin ollut toimiva keino lisätä salasanan turvallisuutta.

Ja tietenkään salasanassa ei kannata käyttää merkkejä, joita ei välttämättä kaikilta näppäimistöiltä löydy.

Sillä ei ole merkitystä, tapahtuuko se lääkevaunun ohjelmiston tekemä automaattinen kirjautuminen koulun muihin järjestelmiin käyttäjätunnus+salasana-yhdistelmällä, niiden hashilla vaiko vaikka jollain tokenilla. Ne ovat kuitenkin käytännön tasolla sama asia eikä se vaikuta itse kirjautumistapahtuman toimintaan mitenkään. Periaate kuitenkin on, että annetaan joku merkkijono (tai kaksi merkkijonoa käyttäjätunnus+salasana-yhdistelmän tapauksessa) ja kirjautuminen sitten joko hyväksytään tai ei hyväksytä. Joka tapauksessa se kirjautumiseen käytettävä tunnus ei voi olla "kryptattuna" siellä vaunun (massa)muistissa, koska se pitää jotenkin saada purettua sieltä ilman että se kryptauksen purkuavain syötetään siihen mistään ulkopuolelta.

Noissa koulun IT-systeemeissä on kyllä sen verran reilusti hyökkäyspinta-alaa, että ihmettelen, miten on päädytty lopputulokseen, että hakkeri olisi päässyt sisään juuri tuon älylääkevaunun kautta.

Jos muistellaan ketjun vanhoja keskusteluja, niin erotella vähän sitä mihin se salasana on, mikä merkitys sen vahvuudella. Jos kyse pääsyn hallinnasta, niin se on ihan sama kuinkapitkä se salasana on jos sen hyökkääjä saa helposti haltuun/selvitettyä. Vertaa esim SIM PIN koodi, joka voi olla hyökkääjälle hyvin vaikea saada haltuun, ja vaikka se yleensä on lyhyt ja tiedetään että se on vain numeroita, niin jos itse kortti ei vuoda, niin se on vaikea selvittää vaikka hyökkääjä saisi kortin haltuun.

Eli tässä johdattelin siihen että arvaamalla/kokeilemalla selvittämiseen vaikuttaa suuresti se kuinka montakertaa voi kokeilla, ja kuinkanopeasti yrittää uudelleen.

Eli vähentämällä aikaa ratkaista pääsysalasana, vähentämällä nopeutta ja vähentämällä kertoja voi vaikeuttaa murtamista, ja se heikkokin "salasana" voi olla riittävän yllättävän vahva. ja hyökkääjä kannattaa käyttää muita konsteja.

Salauksissa joissa itse salaus ei aseta aikarajaa, eikä kokeilurajaa, eikä aikarajaa seuraavaan kokeiluun, (voi jopa kokeilla rajattomasti rinnakain), niin sitten kai kyse siitä kuinka paljon resursseja vaatii yksikokeilu tänään, kuinka paljon tulevaisuudessa. kuinka paljon niitä yrityksiä tarvitaan.

Kuinkapitkään asia pitää pysyä salassa, on ihan eria jos riittää vuosi, vs se että pitäisi kestää 25 vuotta, siis olla vahva luotto että 20 päästä ei ole resursseja millä se murtuu helposti, tai kenelläkään ei ole laittaa resurssia millä sen murtaa.


Katoisoin postaamasi videota, ehkä referaatti ei ihan luonut samaa mielikuvaa mitä videosta tuli. Mutta epäilys oli että hyökkäys oli tehty tämän yhden käyttäjän tunnuksilla, se ei selvinnyt miten ne oli hyökkääjä saanut, mutta tunnusten haltiaa ei epäilty. Mutta on ihan sama miten vahva salasana on, jos hyökkääjällä on se hallussa.

Tunnukset siis siihen etätyöpöytä yhteyteen, missä se idea ettei käyttäjät omine laitteineen pääse suoraan verkkoon, mutta sen verran tukevaan yhteyteen että pääsii eteenpäin, ja seuraava heikkous oli se verkon laite jota ei oltu päivitetty, kaksi muuta oli. eli varsinainen aukko oli vanha ja tunnettu. Eli tässä hyökkääjä oli ilmeisesti täysin ulkopuolinen, mutta olisihan tuon päivitykset pitänyt olla kunnossa , sehän tarjosi hyökkäys mahdollisuutta ihan heillekkin joilla tunnukset itsellä. (siis opisekelin itsensä)

En katsonut videota kokonaann, niin kerrottiinko siellä mitä parannuksia tehty.

 

[Kingofflies]

Hohhoijaa. Niin kauan kun uskot ssh-avaimiin ja kryptisiin mekanismeihin, olet itse tietoturvariski. Sama pätee myös 2FA:han.

Niin kauan kun on ihmisiä töissä niin se salasana esim. lääketietokantaan on "12eikerrotamuille34" tms vastaavaa.

Menisit edes päiväksi oikeisiin töihin niin et spekuloisi jatkuvasti netissä täysin saavuttamattomia teoria-skenaarioitasi.

Mistäs kolosta se sinä trolli heräsit? Jaa, mitäs vikaa ei-symmetrisissä (PKI) -avaimissa on vikaa? Algortimeja kehitellään, elliptiset algoritmit on yksi vaihtoehto.Mikä vika 2FA, tai oikeamminkin MFA? Monet palvelut menneet salasanattomiin ratkaisuihin, jotka vähän kuin MFA, ilman sitä salasanaa.
Mikäs vaihtoehto sinulla on näille?

Tosiaan olen tehnyt töikseni näitä jo jonkun aikaa, sivistä toki minua kun olet fiksumpi.

 

[Kingofflies]

Sillä tavalla sen saa tietysti suhteellisen turvalliseksi, että palvelimessa on säilöttynä vain asiakkaan (tässä tapauksessa lääkevaunun) julkinen avain ja lääkevaunussa taas sitä vastaava privaattiavain. Silloin tunnuksien varastaminen ei onnistuisi liikennettä salakuuntelemalla tai palvelimeksi tekeytymällä.

Tosin tässä tapauksessa ilmeisesti opiskelijalla oli täysi hallinta lääkevaunuun, joten opiskelija todennäköisesti olisi omilla tunnuksillansa nähnyt sen lääkevaunun privaattiavaimenkin, mikäli tuollaista autentikaatiota olisi lääkevaunun ja palvelimen välillä käytetty.

Juuri tähän viittasin, tässä oli heikoin lenkki ihminen ja huono toteutus. Tuotantoon ei saa mennä ratkaisulla, jossa jollain henkilöllä (opiskelijalla), on epämääräinen pääsy laitteeseen. Roolit, oikeudet, salaukset ja kirjautumismekanismit pitää olla katselmoitu ja testattu kun mennään tuotantoon.
Tämä tapaus ei ollut esimerkki digitalisaation ongelmasta, vaan siitä että projektin ja tuotantoonviennin suunnittelu ja riskianalyysi oli pielessä, tai se oikeastaan kokonaan puuttui.

 

[pulatunnus]

Apple soveluskapuan avaus uutisesta alkaa menemään tämänketjun suuntaan

Ei vaan kerro ihan yleisesti jokin palvelu, minkä käyttö edellyttää älypuhelimen käyttöä. Höpisit äsken jopa kaupassa käynnistä, joten naurattaa jo valmiiksi.

Pysäköinti sovelluksista ei välttämättä ole vaihtoehtoa, Toimiiko esim Whatsapp nykyään ilman puhelinta (se on ollut tuettuna laajemmin kuin vain Google ja Apple), liuta IoT juttuja toimii vain sovelluksella, työntekiä puolella sovelluskohtaisia palveluita jotka vaatii sovelluksen. Pääsynhallintaa tarvitaan sovelluksia, joo osaan on vaihtoehtoja, mutta ei välttämättä käytännössä käytettävissä. Pikkuhijlaa niitä selainpohjaisia juttuja karsittu. Kaupanalalla on vain sovelluskohtaisia palveluita kuluttaja asiakkaille. Ei siis ole vaihtoehtoisia tapoja.



Edit mainitsit itsekkiin autoiluun liittyviä juttuja. ja sieltä taisi mainita erikseen latauksen.

Maksamiseen liittyviä sovelluspohjaisia palveluita.

 

[napsa]

Apple soveluskapuan avaus uutisesta alkaa menemään tämänketjun suuntaan

Pysäköinti sovelluksista ei välttämättä ole vaihtoehtoa, Toimiiko esim Whatsapp nykyään ilman puhelinta (se on ollut tuettuna laajemmin kuin vain Google ja Apple), liuta IoT juttuja toimii vain sovelluksella, työntekiä puolella sovelluskohtaisia palveluita jotka vaatii sovelluksen. Pääsynhallintaa tarvitaan sovelluksia, joo osaan on vaihtoehtoja, mutta ei välttämättä käytännössä käytettävissä. Pikkuhijlaa niitä selainpohjaisia juttuja karsittu. Kaupanalalla on vain sovelluskohtaisia palveluita kuluttaja asiakkaille. Ei siis ole vaihtoehtoisia tapoja.



Edit mainitsit itsekkiin autoiluun liittyviä juttuja. ja sieltä taisi mainita erikseen latauksen.

Maksamiseen liittyviä sovelluspohjaisia palveluita.

Varmaan haettiin palvelua (ei yksittäistä sovellusta) mitä ei enää voi käyttää ilman älypuhelinta.

Tekstiviestit ei tarvii älypuhelinta. Ja whatappia taitaa pystyä käyttämään selaimella, vaatii puhelinnumeron.

Pysäköinti ei kaikkialla onnistu ilman älypuhelinta/sovellusta, mutta kyllä edelleen monessa paikassa pystyy pysäköinnin käteiselle tai kortilla maksamaan. Lidlissäkin voi käydä vaikkei sovellusta ole, ei vaan bonuksia ja etuja saa, mutta ei estä käyntiä.

Varmasti löytyy työpaikkoja mitkä "vaatii" älypuhelimen, ihan vaan koska kaikilla nykyään se on, eikä ole vaihtoehtoa mietitty edes.

Itselle ei ainakaan tule omasta elämästä mieleen mitään palvelua tai vastaavaa mikä vaatii älypuhelimen. Monessa sitä käytän, mutta vaihtoehtojakin olisi, jos haluaa, eli ei estä niiden käyttöä vaikkei älypuhelinta olisi.

 

[pulatunnus]

Varmaan haettiin palvelua (ei yksittäistä sovellusta) mitä ei enää voi käyttää ilman älypuhelinta.

Termini oli epäselviä, mietin asiaa siltä kantilta että asia ei onnistu sovelluksella tai on hyvin epäkäytännöllistä. Juttu lähti siitä että älypuhelimet olisivat pelkkiä hupijuttuja.

Ja whatappia taitaa pystyä käyttämään selaimella, vaatii puhelinnumeron.

Tälläinen mielikuva jäänyt, mutta en tarkistanut, kiitos varmistukesta ja tosiaan nykyään on vaihtoehto puhelinnumerolla. Sitten voi sitä peliPC ja mokkulaa rahdata mukana .

Pysäköinti ei kaikkialla onnistu ilman älypuhelinta/sovellusta, mutta kyllä edelleen monessa paikassa pystyy pysäköinnin käteiselle tai kortilla maksamaan. Lidlissäkin voi käydä vaikkei sovellusta ole, ei vaan bonuksia ja etuja saa, mutta ei estä käyntiä.

Varmasti löytyy työpaikkoja mitkä "vaatii" älypuhelimen, ihan vaan koska kaikilla nykyään se on, eikä ole vaihtoehtoa mietitty edes.

Aiemmin ketjussa olin pohtinut että jos isomerkitys mihin vetää välttämättämyys rajan, ja totta, tässä maassa on pysäköinti paikkoja joihin ei tarvi sovellusta, ja mikäs pakko autolla liikkua.

Mutta se ei nyt ollut pointti, vaan se että entistä enemmän asioita/palveluita ym joihin tarvitaan se älypuhelin ja usein nimenomaan Google tai Apple. Ja entistä useammin vaaditaan vielä jokin tietty palvelu ja sen sovellus.

 

[OscarK]

Termini oli epäselviä, mietin asiaa siltä kantilta että asia ei onnistu sovelluksella tai on hyvin epäkäytännöllistä. Juttu lähti siitä että älypuhelimet olisivat pelkkiä hupijuttuja.

Alunperinhän tämä vääntö lähti siitä, kun joku esitti väitteen, että älypuhelin olisi samanlainen elämisen perustarve kuin sähkö, johon sitten vastineena sanoin että älypuhelimen ovat vain hupijuttuja, eikä mikään elämisen välttämättömyys. Kun yritettiin perustella sitä, että viranomaisilla pitää olla oikeus säädellä näitä Applen ja Googlen alustoja. Minä taas olin sitä mieltä, että mitään sääntelyä ei tarvita, koska yritysten pitää saada tehdä tuotteillaan mitä haluavat, koska ei niitä kenenkään ole pakko käyttää.

 

[pulatunnus]

Alunperinhän tämä vääntö lähti siitä, kun joku esitti väitteen, että älypuhelin olisi samanlainen elämisen perustarve kuin sähkö, johon sitten vastineena sanoin että älypuhelimen ovat vain hupijuttuja, eikä mikään elämisen välttämättömyys. Kun yritettiin perustella sitä, että viranomaisilla pitää olla oikeus säädellä näitä Applen ja Googlen alustoja. Minä taas olin sitä mieltä, että mitään sääntelyä ei tarvita, koska yritysten pitää saada tehdä tuotteillaan mitä haluavat, koska ei niitä kenenkään ole pakko käyttää.

Jos ei nyt hienosäädettä siinä onko kuinka lähellä sähkön verrattava tarve vai ei, ja luurit ei toimi ilman sähköä.

Viranomaisten pitää toki taata kilpailua myös paljon vähemmän tärkeistäkin jutuista, myös ihan viihteestä. Tässä toki paljon tärkeämmästä jutusta.