keskiviikko 16. lokakuuta 2019

Windows 10 suojaa kiristysohjelmia vastaan

Windows 10 sai jokin aika sitten 1709-päivityksessä uuden suojauksen kiristyshaittaohjelmia vastaan. Se estää muita kuin luvan saaneita ohjelmia kirjoittamasta tärkeisiin kansioihin. Pelkät käyttöoikeudet eivät tähän pysty, sillä tyypillisesti kiristysohjelma käynnistyy käyttäjän omilla oikeuksilla ja pääsee siten estoitta kaikkein tärkeimpiin kansioihin salakirjoittamaan niistä löytyvät tiedostot.

Oletusarvona toiminto ei ole päällä, joten sen käyttöönotto vaatii oma-aloitteisuutta. Suojaus löytyy asetuksista nimellä Kiristysohjelmien torjunta. Ominaisuuden virallinen nimi on Hallittu kansion käyttö (Controlled Folder Access).

Kiristysohjelmien torjunta.
Oletusarvona suojataan kaikki käyttäjän kotihakemiston alla olevat kansiot, kuten kuvat, asiakirjat, musiikki, videot ja työpöytä. Kansioiden nimet näkyvät kohdasta Hallittu kansion käyttö > Suojatut kansiot:

Suojatut kansiot.
Lisää suojattu kansio -toiminto lisää nimensä mukaisesti suojattujen listaan uuden kohteen.

Kun suojaus on käytössä, vieraan ohjelman yritys kirjoittaa suojattuihin kansioihin estetään ja työpöydän alanurkassa näkyy ilmoitus tapahtuneesta:
Luvaton kirjoitusyritys estetty.
Jos ohjelma on itse asennettu ja hyväksi havaittu, muokkausoikeus on helpointa myöntää etsimällä lokista estetyn ohjelman nimi ja valitsemalla Toiminnot > Salli laitteessa.

Ohjelman käytön salliminen.
Windowsin suomenkielinen versio kutsuu toimintoa nimellä Estä historia kun oikea muoto olisi Estohistoria. Toiminto ei siis estä historiaa, vaan sallii estohistorian tarkastelun ja oikeuden myöntämisen.

Luvalliset ohjelmat voi listata myös etukäteen, mutta käytännössä uusia kohteita löytyy aina myös käytön aikana, joten historian perusteella tapahtuva luvitus on käytännöllisempi. Kokeilun perusteella näyttää siltä, että Windowsin omat apuohjelmat ja sovellukset saavat luvat automaattisesti, joten niitä ei tarvitse lisätä sallittujen listalle (whitelist).

Ominaisuus ei ole yhteensopiva muiden virustorjuntaohjelmien kanssa, jotka haluavat hallita kirjoitusta itse. Siksi sitä voi käyttää vain Windowsin oman Defender-antiviruksen kanssa.

Kokeilujen perusteella suojaus näyttäisi ulottuvan automaattisesti myös kansion alikansioihin, joten esimerkiksi Dropboxin kansiota ei tarvitse erikseen lisätä suojattujen listalle. Windows ei kuitenkaan varoita, että kansio on jo suojan piirissä, vaan antaa tehdä lisäyksen normaalisti. Kannattaa siis varmistaa kokeilemalla, että suojaus todella toimii niissä kansioissa missä pitääkin. 

tiistai 15. lokakuuta 2019

Lukon kuva ei takaa sivun turvallisuutta

Vanhan tietoturvaohjeen mukaan sivusto on turvallinen, jos selaimen osoiterivillä näkyy lukon kuva. Valitettavasti tämä ohje on vanhentunut. Lukko kertoo, että tieto siirtyy salattuna selaimen ja palvelimen välillä, joten esimerkiksi linjaa salakuunteleva hakkeri ei pysty urkkimaan salasanoja tai luottokorttinumeroita.

Lukko ei kuitenkaan takaa sivun aitoutta, joten se ei suojaa tietojen kalastelulta. Lukon kuva voi näkyä silloin, kun kalastelusivusto on perustettu toisen sivuston alaisuuteen tietomurron tai hakkeroinnin jälkeen.

Esimerkiksi tänään sähköpostilla tullut houkutteluviesti johti sivulle, jossa näkyy lukon kuva, mutta joka on takuuvarma kalasteluyritys:

"Yhteys on turvallinen" - mutta sivusto ei!
Osoitteesta näkee, että kalastelusivu on luotu uusiseelantilaiselle Picton-kylän majoituspalveluita tarjoavalle sivustolle. Tarkkanäköinen huomaa osoitteessa https://accommodation-picton.co.nz/4554/pankki/ jotain outoa, kiireinen tai kokematon tuijottaa vain lukon kuvaa ja suomalaisen pankin logoa sekä kieliopillisesti virheetöntä tekstiä.

Jos klikkaa lukkoa, selain näyttää harhaanjohtavasti "Yhteys on turvallinen" -ilmoituksen. Yhteys on kyllä salattu, mutta ei turvallinen. Kehitys on mennyt väärään suuntaan, sillä pari vuotta sitten Chrome käytti tekstiä "Suojattu yhteys", joka oli sentään vähän parempi.

Vielä hankalammaksi asian tekee se, että eräät selaimet näyttävät osoitteesta vain domain-nimen ja peittävät hakemistopolun, jolloin polkuosuutta ei pääse helposti arvioimaan.

SSL-varmenteen tietojen tarkistamisesta on niin ikään tullut aiempaa hankalampaa, sillä tiedot pitää kaivaa valikkojen takaa. Ennen varmenteen myöntäjä näkyi helposti, mikä auttoi arvioimaan myöntäjän luotettavuutta.

Let's Encrypt myöntää SSL-palvelinvarmenteita ilmaiseksi, jolloin niitä on helppo hakea myös harhaanjohtaville domain-nimille. Esimerkiksi lukon kuva ja osoite www.0suuspankki.fi riittäisi hämäämään kokenuttakin käyttäjää, sillä osoite näyttää oikealta ja lukko kertoo salauksen kytkeytyneen päälle.

Miten siis tunnistaa kalastelusivu aidosta? Kannattaa aina tarkistaa osoite huolellisesti, eikä ylipäätään klikata linkkejä, jotka tulevat sähköpostilla. Tekstiviesteissä todellista osoitetta ei pysty peittämään, joten esim. kuriiriliikkeiden ilmoitukset tavaroiden toimituksista tai tullauksista ovat yleensä aitoja. Huolellisuus kannattaa niissäkin!

Selainten omat estolistat reagoivat huijaussivuihin viiveellä, joten niihin ei voi aina luottaa. Tällä hetkellä kalastelusivulle pääsee esteettä, vaikka houkutteluviestistä on kulunut jo 14 tuntia. Myöskään Freedomen selaussuojaus tunnista sivua kalasteluksi.

Viimeisenä niksinä voi vielä kokeilla väärien kirjautumistietojen antamista. Jos S-pankki hyväksyy käyttäjätunnukseksi mitä tahansa numeroita ja nimeksi kelpaa Joulu Pukki, kyse ei varmasti ole aidosta sivusta.

tiistai 8. lokakuuta 2019

Puhelimeni-sovellus yhdistää Androidin ja Windows 10 -koneen

Microsoftin Puhelimeni-mobiilisovellus (Your Phone Companion, YPC) yhdistää näppärästi Android-puhelimen ja pöytäkoneen tai läppärin.

Sovelluksen avulla puhelinta voi hallita Windowsin työpöydältä, esimerkiksi lukemalla ja lähettämällä tekstiviestejä, katsomalla puhelimen ilmoituksia sekä siirtämällä valokuvia puhelimesta tietokoneeseen. Mainio ominaisuus esimerkiksi tylsässä palaverissa, sillä tekstiviestejä voi hoitaa huomaamattomasti läppäriä naputellen.

Puhelimeni-sovellus löytyy Googlen Play-kaupasta ja se vaatii vähintään Android 7 -version (Nougat) toimiakseen. Windows 10 pitää olla vähintään April 2018 -tasoa.

Your Phone Companion
Vaikka teksti on englanniksi, sovellus toimii suomenkielisenä. Asennus on yksinkertaista. Ensin pitää kirjautua sovelluksen kautta omalle Microsoft-tilille, minkä jälkeen asennus jatkuu lupien kysymisellä:

Lupa tekstiviesteihin vaaditaan.
Asennus varoittaa, että koko ajan taustalla toimiva mobiilisovellus voi lyhentää akun kestoa. Ei voi mitään, kaikessa hauskassa on varjopuolensa. Lopuksi asennus neuvoo lataamaan Puhelin-nimisen sovelluksen Windows 10:een ja näyttää tarvittaessa ohjeet, miten se tehdään.

Jatko tapahtuu Windows 10 -koneessa.
Mobiilisovelluksen asetuksista voi ottaa käyttöön mobiilidatan käytön, ilmeisesti oletuksena bitti liikkuu vain wifi-verkossa tiedonsiirtomaksujen välttämiseksi.

Suomalainen voi ottaa käyttöön synkronoinnin mobiilidatan kautta.
Oletuksena Windows-sovellus hallitsee kuvia ja tekstiviestejä (myös MMS-multimedia), mutta toimintaa voi laajentaa Android-puhelimen ilmoituksiin:

Ilmoitusten näkyminen vaatii lisää oikeuksia.
Windows-ohjelma neuvoo, mistä oikeudet annetaan, ja reagoi niihin heti saatuaan luvan puhelimelta.

Android-puhelimen ilmoitukset Windowsin työpöydällä.
Kuvien kopiointi puhelimesta käy helposti, mutta jostain syystä kyseessä on aina kopiointi -- kuvia ei voi siirtää, joten alkuperäiset on käytävä poistamassa manuaalisesti puhelimesta.

Puhelimen kuvat voi kopioida leikepöydälle tai tallentaa tiedostoiksi.
Kopiointi leikepöydälle on näppärä vaihtoehto, koska silloin kuva on helppo siirtää toiseen sovellukseen (esim. Powerpoint). Jaa-vaihtoehto näyttäisi toimivan vain Windows Storesta ladattujen ohjelmien kanssa, joten esimerkiksi sosiaaliseen mediaan jakaminen vaatii Twitter-sovelluksen asentamisen ja sähköpostiksi käy vain Windows 10:n oma, alkeellinen sellainen.

Jossain demossa vilahti myös näytön jakaminen suoraan puhelimesta. Se olisi mainio lisä, koska silloin voisi käyttää oikealla näppäimistöllä ja hiirellä esimerkiksi Whatsappia Windows-työpöydältä. Käyttö on nytkin mahdollista erillisten apuohjelmien avulla (kuten AirDroid). Kiinnostavaa nähdä, miten ohjelma vielä kehittyy.

Tietoturvamielessä tähän liittyy pieni kielteinen näkökulma: monivaiheinen tunnistus varmentaa kirjautumisen matkapuhelimeen lähetettävällä tekstiviestillä. Sovelluksen kautta koodi näkyy myös tietokoneelle, mikä vesittää osan 2FA:n tuomasta hyödystä.

Uutisen mukaan jatkossa Windows-koneella voi myös soittaa puheluita ja vastata niihin. Vastaava ominaisuus toimii myös Macin ja iPhonen välillä.

maanantai 7. lokakuuta 2019

Mac Safari hyytyy Twitteriin

Mac-kannettavassa ilmenee vähän väliä ongelma, joka saa Twitterin hyytymään. Sivun lataus jää kesken, eikä mitään tapahdu. Virheilmoitusta ei tule. Erittäin ärsyttävää.

En ole varma ilmiön syystä, mutta sen korjaus on kuitenkin helppoa. Safarin asetuksista löytyy yksityisyys-valikko, johon on listattu käydyt sivustot:
Jos Twitter hyytyy Macissa, kannattaa kokeilla välimuistin nollausta
Välimuistin poistaminen Twitterin kohdalta auttaa, mutta edellyttää uutta kirjautumista Twitteriin, mikä puolestaan vaatii salasanan ja ehkä puhelimeen tulevan tekstiviestivarmistuksen.

Kaikkia tietoja (Poista kaikki) ei kannata käyttää, koska silloin kaikki muutkin sivustot unohtavat tietonsa ja vaativat uuden kirjautumisen.

Twitterin lisäksi ainakin Mtv3uutiset.fi on vaatinut Macissa vastaavan välimuistin tyhjennyksen latautuakseen. 

tiistai 1. lokakuuta 2019

Pianonsoittoa peilikuvana

Jokainen tietää, että pianossa matalammat äänet tulevat vasemmanpuoleiseista koskettimista ja korkeammat oikeanpuolimmaisista. Sama järjestys on myös jousisoittimissa, ainakin suoraan edestä katsottuna.

Miltä soitto kuulostaisi, jos koskettimien järjestys vaihtuisi peilikuvaksi? Niin että matalat äänet olisivat oikealla ja korkeat vasemmalla.

Tiettävästi kukaan ei ole rakentanut tällaista pianoa, mutta tietotekniikalla sitä on helppo kokeilla. Nuori opiskelija Jamin Hu teki pienen python-ohjelman, joka käänsi sähköpianon midi-ulostulosta nuotit yksinkertaisella kaavalla nuotti=127-nuotti ja lähetti ne toisen pianon midi-sisääntuloon, joka edelleen "soitti" ne ulos. Lopputulos oli yksinkertainen: pianon koskettimet soivat peilikuvana, väärinpäin.

Midi-boksi ja Surface, jossa nuottien kääntö tapahtuu.
Olin katsomassa demoa viime viikolla Steinwayn myymälässä Helsingissä ja kokemus oli vaikuttava. Kun pianisti soittaa tuttuja kappaleita, nuottien peilaus (kääntäminen, "flipping") saa ne kuulostamaan erilaisilta. Musiikin rytmi ja dynamiikka kuitenkin säilyvät, joten tulos on erilainen kuin soitettaessa kappaletta takaperin, mikä on ollut helppoa aina gramofonien ja levysoitinten keksimisestä alkaen.

Käänteistä musiikkia voi kuunnella omalla tietokoneella. Jamin Hu'lla on kotisivullaan esimerkkejä Bachin, Beethovenin, Chopinin ja Rachmaninovin pianomusiikista tavallisina midi-tiedostoina sekä käännettyinä versioina.

Kuuntele vaikka sivulta Inverted albums tunnettu Chopinin Vallankumousetydi (Etude in C minor Op. 10 No. 12, Revolutionary) ja sen jälkeen sama käännettynä (Flipped Etude in C minor Op. 10 No. 12, Revolutionary). Valitettavasti sivu on tehty niin, ettei suora linkittäminen musiikkinäytteisiin onnistu.

Siitä onkin kauan (20+ vuotta), kun viimeksi pyörittelin midi-tiedostoja. Ehdoton huippu oli, kun löysin Verdin Aida-oopperan voitonmarssin ja latasin "soittimeksi" konekiväärin. Sivulta http://www.piano-midi.de/ voi ladata midi-datan ja sitten sopivalla soitto-ohjelmalla valita siihen halutun soittimen. Nykyään midi-äänet ovat entistä aidompia, joten näiden kanssa leikkimällä saisi kulumaan tunteja, vaikka ei muusikko olisikaan.

Lopuksi Jamin Hu teki jotain uskomatonta. Hän soitti kuvassa näkyvällä sähköpianolla Vallankumousetydin käännetyllä koskettimilla, mutta käänsi myös soittonsa niin, että se kuulosti toisesta pianosta tullessaan taas alkuperäiseltä!

Jamin Hu soittaa Vallankumousetydin peilikuvana.
Videotykki heijastaa seinälle kuvan midi-viesteistä, joista näkyy painetun koskettimen numero ja lyönnin voimakkuus.

Tietokoneet ovat hienoja ja pystyvät tehokkaaseen laskentaan. Kuitenkin se, miten aivot voivat komentaa kymmentä sormea soittamaan vaikean Vallankumousetydin (tässä normiversio Youtubesta, josta näkyy hyvin sormien liikkeet) sekä oikeilla että käännetyillä koskettimilla, on likipitäen uskomatonta.

maanantai 30. syyskuuta 2019

IE: Myöntäjä hylkäsi varmenteen eksplisiittisesti

Vanhassa Microsoft Surface -tabletissa tuli vastaan outo virheilmoitus: "Myöntäjä hylkäsi varmenteen eksplisiittisesti":

Onpa erikoinen virheilmoitus.
Kirjoitan ilmiöstä blogitekstin siltä varalta, että joku törmää samaan ilmoitukseen ja etsii Googlella siitä lisätietoja.

Sillä, ettei Internet Explorer enää käynnisty, on kauaskantoiset seuraukset: nettikäyttö ei onnistu, eikä koneeseen voi edes ladata kilpailevaa selainta. RT-malleissa se ei onnistuisi muutenkaan, sillä muista selaimista ei ole RT-versioita.

Käytännössä virhe tekee siis RT-läppäristä käyttökelvottoman. Auts.

Syynä ilmiöön on virheellinen Windows-päivitys 4516067. Päivityksen poistaminen ja koneen buuttaaminen sen jälkeen ratkaisee ongelman tilapäisesti.

Päivityksen asennuksen poistoikkuna.
Seuraavalla päivityskerralla virheellinen päivitys asentuu kuitenkin takaisin, ja kone on taas solmussa. Toivottavasti Microsoft saa asian korjattua. Sitä odotellessa ei ole muuta vaihtoehtoa kuin estää päivittäminen toistaiseksi. 

perjantai 20. syyskuuta 2019

Ainolan oudot valokuvausehdot

Museoissa on usein valokuvauskieltoja, joista on ymmärrettäviä (ei salamaa, ei jalustaa) ja osa käsittämättömiä. Järvenpään Ainolassa, Sibelius-museossa, törmäsin uuteen variaatioon, jollaista en ole ennen nähnyt:
Valokuvaaminen Ainolassa.
"Jos kuvia julkaistaan (Facebook, Instagram, Youtube yms.), tulee julkaistaessa mainita kuvauspaikka". Kuvausohjeiden noudattaminen on museon sisäänpääsyn ehto. And same in English.
Mikähän ajatus ohjeen kirjoittajalla on ollut mielessään? Sosiaalinen media on museoille ym. erinomaista mainosta, eikä julkaisijoiden tapana ole jättää kuvauspaikkaa mainitsematta -- pikemminkin päinvastoin. Sääntö tuntuu turhalta ja sen valvonta mahdottomalta. 

Jos lupaa noudattaa ehtoa päästäkseen sisään, mutta myöhemmin julkaisee kuvan unohtaen mainita paikan, onko syyllistynyt johonkin? Miten Ainolan henkilökunta voisi rangaista tällaisesta "rikkomuksesta"?

Siltä varalta, että ohje koskee myös blogeja eikä lukija ole vielä sitä asiayhteydestä ymmärtänyt, niin mainitsen nyt selvästi: ko. teksti on kuvattu Ainolan ovella olevasta taulusta. Siis Ainolasta, Suomen Järvenpäästä, Sibeliuksen pitkäaikaisesta kodista, joka on nyt muutettu museoksi. Hieno paikka muuten, kannattaa käydä (avoinna toukokuusta syyskuuhun).

Viime lauantaina Presidentinlinna ja monet muut kohteet olivat avoinna yleisölle. Kuvauskieltojen taulu oli selkeä ja looginen.
Selkeät kuvauskiellot, ei tarvita pitkiä tekstejä eikä ehtoja.
Uutena oli vain selfie-keppien käytön kieltäminen, mikä väkijoukon huomioiden oli kaikkien yhteinen etu.

Vielä yksi asia, joka sivuaa aiempaa kirjoitustani kameroiden monimuotoisuudesta. Linnassa korviin osui tuttu ääni, kuin lankapuhelimen kilinä vuosikymmenten takaa. Oli pakko kääntyä katsomaan.

Todellakin: filmikamera!
Ääni tuli sulkimen laukaisua seuraavasta filmin siirtymisestä. Nuoret eivät varmaan ääntä edes tunnistaisi, yhtä vähän kuin lankapuhelimen pirinää.

On hämmentävää nähdä, että näin digikameroiden ja älypuhelinten aikakaudella joku tuo vielä presidentinlinnaan wanhanaikaisen filmipokkarin. Mutta meitä on moneksi