22. huhtikuuta 2017

Kirja-arvio: The art of invisibility, Kevin Mitnick


Nähtyäni mainoksen Kevin Mitnickin uudesta kirjasta, päätin ostaa itselleni kopion ja katsoa, minkälaisia neuvoja Mitnick antaa nykypäivän netin käyttäjille (mikäli Mitnick ei ole tuttu henkilö, kannattaa tutustua vaikkapa hänestä tehtyyn Wikipedia-artikkeliin). Yksityisyydestä ja tietoturvasta on vihdoin alettu puhua julkisuudessakin enemmän, joten Mitnickin kirja tuo viimeaikaisten tietovuotojen ja muiden paljastusten avulla lisätietoa siitä, miten tietoturva ja yksityisyys ovat murrettavissa nykypäivän tekniikalla.

Englanninkielisen kirjan virallinen nimi kokonaisuudessaan on The art of invisibility: The world's most famous hacker teaches you how to be safe in the age of big brother and big data. Pitkähkö nimi 309 sivua sisältävälle kirjalle. Suomalaisittain mielenkiintoa herättää myös kirjan esipuhe, jonka on kirjoittanut F-Securen tutkimusjohtaja Mikko Hyppönen. Hyppönen, F-Secure ja F-Securen Tomi Tuominen mainitaan kirjassa vielä esipuheen jälkeenkin tietoturvan asiantuntijoina.

Kirja jätti jälkeensä vähän ristiriitaisen olotilan. Se on selkeästi suunnattu jenkkimarkkinoille, mutta tarkempaa kohderyhmää on hankalampaa tarkentaa. Toisaalta teksti sopii kenelle tahansa tekniikasta ja tietoturvasta tietämättömälle, mutta osittain kirjassa käsitellään hyvinkin tarkasti teknisiä yksityiskohtia, joita on hankalampaa ymmärtää tuntematta aihetta sen tarkemmin.

Toki kirja sisältää yksinkertaisempiakin tietoturvavinkkejä, esimerkiksi avoimen langattoman verkon käytöstä, mutta pääviesti on mielestäni suunnattu (näin eurooppalaisesta näkökulmasta katsottuna) Snowdenin seuraajille tai niille, jotka ovat erittäin huolissaan yksityisyyden menettämisestä. Kirjassa annetaan yksityiskohtaiset ohjeet siitä, miten verkkoon kytkeydytään ja sitä käytetään täysin anonyymisti. Ohjeet alkavat laitteiden ostamisesta (mm. erillinen tietokone, tukiasema ja puhelin) käteisellä ulkopuolisen henkilön avulla, käteisen vaihtamisesta Bitcoineihin ja virtuaalivaluutan lähteen peittämisestä aina Tor-verkon käyttöön VPN-yhteyden läpi. Tällainen lista huomioitavista asioista tuntuu liioittelulta joka sopii hyvin amerikkalaiseen makuun, mutta toisaalta vasta ohjeistuksen lukemisen jälkeen havahtuu, miten paljon aikaa ja vaivaa vaaditaan tänä päivänä oman yksityisyyden totaaliseen suojaamiseen verkossa.

Viimeisten vuosien aikana on tullut julkisuuteen useita erilaisia tietovuotoja ja paljastuksia, joita kirjassa käsitellään osittain hyvinkin yksityiskohtaisesti. Snowdenin tarinasta kerrotaan muun muassa se, miten Snowden ja toimittaja Laura Poitras käyttivät useita sähköpostiosoitteita, PGP-salausta ja Tor-verkkoa hyödykseen keskustellessaan tietovuotoon liittyvistä asioista ennen asian julkistamista. Samalla selviää, miten Snowden otti yhteyttä Poitrakseen ja miten kumpikin osapuoli varmisti, että he todella keskustelivat kuvittelemansa henkilön kanssa.
Lisäksi kirjassa käydään läpi mm. Silk Road -kauppapaikan perustajan ja ylläpitäjän Ross Ulbrichtin tekemiä virheitä, jonka vuoksi sivusto suljettiin ja Ulbricht saatiin kiinni. Tor-verkko itsessään ei pysty turvaamaan yksityisyyttä, mikäli käyttäjä tekee verkossa asioita, joiden avulla hänet voidaan yhdistää johonkin henkilöllisyyteen. Esimerkkinä vaikkapa oman henkilökohtaisen sähköpostin käyttö Tor-verkon läpi.

Loppujen lopuksi kirja on mielenkiintoinen tietoturvasta kiinnostuneille. Mitnick kertoo omia kokemuksiaan hakkeroinnista sekä hakkeroinnin kohteeksi joutumisesta ja antaa ajattelemisen aihetta omienkin tietoturvakäytäntöjen suunnittelussa. Itselleni tuli uutena tietona esimerkiksi kaksivaiheisen tunnistautumisen haasteet ja niiden hyödyntäminen sosiaalisella hakkeroinnilla. Mitnick itse on ääriesimerkki tietoturvakäytännöissään (hän mm. vaihtaa kannettavan tietokoneensa kiintolevyn aina ennen matkalle lähtöään ja jättää sen luotettavalle tutulleen kotimaahansa), mutta ne antavat kuitenkin hyvän pohjan omalle yksityisyyden suojaamisen ja tietoturvan suunnittelulle. Kirjan aliotsikon maininta big datasta jää vähemmälle huomiolle, ehkäpä sen olisi voinut jättää otsikosta kokonaan poiskin.