Kaapatut keskustelut

The Intercept -verkkolehti julkaisi Edward Snowdenilta saatujen tietojen perusteella artikkelin, jonka mukaan Yhdysvaltojen ja Britannian tiedustelupalveluiden vakoojat murtautuivat maailman suurimman SIM-korttien valmistajan tietojärjestelmiin ja varastivat puheluiden yksityisyyttä suojaavat salausavaimet. Tämän luvattoman tietomurron toteuttivat yhteistyössä NSA ja GCHQ. Pääkohteena tiedustelupalveluilla oli kansainvälinen yritys Gemalto, jonka valmistamia siruja käytetään mm. matkapuhelimissa, biometrisissä passeissa, henkilökorteissa sekä uudemmissa maksukorteissa. Tämä, vuosien 2010-2011 aikana tapahtunut hyökkäys, on mahdollistanut suuren osan koko maailman puheluiden ja datasiirron tarkkailemiseen jo useiden vuosien ajan. Lisäksi salausavaimilla on voitu purkaa tiedustelupalveluiden aiemmin kaappaamien puheluiden salaukset.

Verkkohyökkäys toteutettiin erittäin häikäilemättömällä tavalla tunkeutuen Gemalton sisäverkkoihin, vakoilemalla työntekijöiden Internet-käyttöä ja asentamalla haittaohjelmia useisiin tietokoneisiin. Kohteena oli useita Gemalton toimitiloja mm. Suomessa, Saksassa, Meksikossa, Brasiliassa, Kanadassa, Kiinassa, Intiassa, Italiassa, Venäjällä, Ruotsissa, Espanjassa, Japanissa ja Singaporessa. Salaiset GCHQ:n dokumentit paljastavat, että tiedustelupalvelut murtautuivat lisäksi useiden suurten teleyritysten ja SIM-korttien valmistajien työntekijöiden sähköposti- ja Facebook-tileille päästäkseen käsiksi arvokkaimpana tietona pidettyihin salausavaimiin. Osana suurta operaatiota GCHQ tarkkaili mm. Nokian, Ericssonin, Huawein, MTN Irancellin, Belgacomin, Bluefishin ja Gemalton työntekijöiden sähköpostiviestittelyä.

On tärkeää huomata, että tiedustelupalveluiden tarkkailuun joutuneet ihmiset eivät olleet rikollisia, terroristeja tai laittomia verkkohyökkäyksiä tekeviä hakkereita. Nämä ihmiset eivät joutuneet tarkkailun kohteeksi sen vuoksi, että he olisivat tehneet jotain lainvastaista, tunteneet rikoksista epäiltyjä tai toimineet rikollisissa järjestöissä. Syyksi riitti ainoastaan se, että heitä voitiin häikäilemättömästi hyväksikäyttää tietomurrossa.

Helsingin Sanomien julkaiseman artikkelin mukaan Sonera arvioi, että puolet sen asiakkaiden käyttämistä SIM-korteista on Gemalton valmistamia. DNA on puolestaan hankkinut pienen osan SIM-korteistaan tietomurron kohteena olleelta yritykseltä. Myös Elisan asiakkailla on käytössä Gemaltolta hankittuja kortteja, mutta yhtiö ei ole julkisesti kertonut määristään. Helsingin Sanomien artikkelista huomaa, kuinka välinpitämättömiä kommentteja suomalaiset teleoperaattorit antavat julkisuuteen. Asia on todella vakava ja se koskee myös tavallisia matkapuhelimen käyttäjiä. Puheluiden tietoturvan kuuluisi olla operaattoreiden vastuulla, ei maksavien asiakkaiden. Lisäksi tämä tiedustelupalveluiden hyökkäys on hyvä esimerkki siitä, kuinka vakoilu koskee myös tavallisia ihmisiä, joilla ei ole mitään tekemistä rikollisuuden kanssa.

Dokumentit paljastavat myös, että GCHQ oli suunnittelemassa samankaltaista salausavainten kaappaamista Gemalton kilpailijoilta, kuten Gieseckiltä ja Devrientiltä. Onkin syytä olettaa, että suomalaisten puhelut, tekstiviestit ja datasiirto ovat tiedustelupalveluiden kuunneltavissa. Näiden yksityisyyteen ei voi luottaa, koska 1) Gemalton tietomurto on hyvin vakava, 2) vuodetut dokumentit ovat vanhoja ja niissä viitataan lisäksi vastaavien hyökkäysten valmisteluihin ja 3) NSA:n sekä GCHQ:n budjetit ja toimivalta ovat selkeästi kasvaneet aiemmista vuosista.

Julkitulleista dokumenteista voidaan lisäksi nähdä, että NSA:lla on käytössään tehokas puheentunnistusjärjestelmä, jonka avulla kaapatut äänitiedot voidaan automaattisesti muuttaa tekstimuotoon (The Intercept: The Computers Are Listening Part 1 & Part 2). Tämän vuoksi puhelutietoja voidaan helposti kahlata läpi ja etsiä niitä halutuilla hakusanoilla. On siis oletettavaa, että kaikki NSA:n kaappaamat puhelut skannataan, luetteloidaan ja arkistoidaan määräämättömäksi ajaksi.

 

Älä luota teleoperaattoriisi, luota salaukseen

 

Onneksi tähän ongelmaan on olemassa tietoturvallisempia ratkaisuja. Koska puheluiden ja tiedonsiirron yksityisyydensuojaan ei voi luottaa, voidaan puhelut ja tekstiviestit suojata sovelluksilla, jotka hyödyntävät tehokasta salausta ja Internet-yhteyttä. Käyttöä varten tarvitaan Internet-yhteydellä varustettu matkapuhelinliittymä tai WLAN-yhteys ja älypuhelin.

1. WhisperSystems - Signal

Toistaiseksi yksinkertaisin, selkein ja ilmainen vaihtoehto on asentaa Signal. Tällöin puhelut toimivat normaalisti, mutta lisäksi voidaan soittaa salattuja puheluita muiden Signal-käyttäjien kesken. Se myös korvaa tekstiviestiohjelman ja tarjoaa normaalin tekstittelyn lisäksi tehokkaasti salattua viestittelyä muiden ohjelman käyttäjien kanssa sekä mahdollisuuden suojata tekstiviesteihin pääsy salasanalla. Signal oli aiemmin jaoteltu Androidilla kahteen ohjelmaan: RedPhoneen ja TextSecureen.

Android: Signal löytyy Google Play -kaupasta.
iOS: Signal – Private Messenger löytyy AppStoresta. Lähdekoodia voi vilkaista GitHubista.

 

2. Silent Circle - Silent Phone, Silent Text (maksullinen)

Maksullisena palveluna Silent Circle kilpailee laadulla, läpinäkyvyydellä ja tietoturvallisuudella. Se toimii sekä Androidilla että iOS:llä. Ohjelmista on lisäksi saatavilla lähdekoodi GitHubissa: Silent Phone (iOS), Silent Phone (Android) ja Silent Text. Silent Circlen tarjontaan voi tutustua heidän kotisivuillaan.

 

3. Guardian Project – Ostel & CSipSimple + ChatSecure

Kolmas vaihtoehto on käyttää SIP (Session Initiation Protocol) -yhteyksiä ja XMPP (Extensible Messaging and Presence Protocol) -verkkoa. Tällöin puhelun tai viestittelyn toinen osapuoli voi käyttää tietokonetta ja jutella tai kirjoitella esimerkiksi Jitsi-sovelluksen avulla. Ilmaisen Ostel-tilin saa itselleen rekisteröitymällä heidän verkkosivuillaan ja tämän jälkeen konfiguroimalla tili haluttuun sovellukseen. Käytettävät protokollat mahdollistavat hyvän toimivuuden useilla eri alustoilla. Sovelluksia on saatavilla Androidille, Blackberrylle, iPhonelle, Nokialle, Macille, Windowsille ja Linuxille. Tarkemman listauksen löydät Ostelin sivuilta. Androidin käyttäjät voivat ladata CSipSimplen Google Play -kaupasta. Lisäksi Androidille on saatavilla ChatSecure, joka puolestaan mahdollistaa ilmaisen ja salatun viestittelyn XMPP- ja OTR-protokollia hyödyntäen.