lauantai 10. huhtikuuta 2021

Miksi selaimet sallivat varmenteilla hämäämisen?

Viime viikolla tuli huijaus osoitteella Nordeatarkistaa.com, jossa oli aidon näköinen sivusto. 

Aidon näköinen huijaussivusto.

Sivu on SSL-suojattu, joten osoitteen edessä näkyy lukon kuva. Aiemmin se kertoi, että osoite on tarkistettu ja oikeaksi havaittu, mutta nykyään SSL-varmenteita (sellaisia, joiden juurivarmenne on selaimessa sisäänrakennettuna) saa helposti ja mille nimelle tahansa (varsinkin Let's encryptiltä). Lukko ei siis enää kerro mitään turvallisuudesta.

Selain pahentaa asioita väittämällä, että sivu on turvallinen. Varmenteen tiedot katsomalla käyttäjä voisi nähdä, ettei osoite varsinaisesti tarkoita mitään, mutta se edellyttää lukon kuvan napsauttamista. Helppokäyttöisyyden nimissä varmenteen tarkistamista on suorastaan vaikeutettu (joskin nykyisissä selaimissa on taas tultu vähän parempaan suuntaan verrattuna tähän vanhaan kirjoitukseeni).

Let's Encrypt - tietenkin.

Aidolla Nordean sivulla varmenne näyttää tältä:

Aito Nordean varmenne.

Varmenteen kentistä näkee, kenelle varmenne on myönnetty (kohde): suomalainen, Helsingissä sijaitseva Nordea -niminen yritys.

Parempia varmenteita, joissa hakijan identiteetti oli varmistettu, kutsuttiin aikoinaan Extended Validation -varmenteiksi. Tällaisella sivulla selaimen osoiterivi muuttui vihreäksi. EV-varmenteet olivat kalliimpia hankkia, mutta luottamukseen perustuvalla toimialalla ne olivat välttämätön investointi.

En ymmärrä, miksi selaimet luopuivat EV-varmenteiden erottelusta, mutta nykyinen käytäntö tuntuu hullulta. Kohtelemalla kaikkia varmenteita samanarvoisesti selaimet suorastaan auttavat huijareita. 

Vaikka varmenteessa ei olisikaan EV-merkintää, selain voisi ainakin varoittaa, ettei tässä varmenteessa ole mitään tietoja kohteesta. Silloin pankkien huijaus- ja kalastelusivut olisi helppo erottaa aidoista sivuista.

Vähintäänkin pitäisi kehittää selaimeen plug-in, joka tarkistaisi varmenteen myöntäjän automaattisesti ja ilmoittaisi, jos se on Let's encrypt. 

Ja juuri osui silmään Ylen uutinen huijaavasta polkupyöräkaupasta. Varmenteen myöntäjä tässäkin tapauksessa Let's encrypt.

keskiviikko 7. huhtikuuta 2021

Mac Kuvat-sovellus ja diojen lajitteluongelma

Tyytyväiset Apple-käyttäjät kehuvat laitteitaan sanoen, että niiden kanssa työt sujuvat eikä aikaa tuhraannu ongelmiin, kuten Windowsissa. Kyse on varmaan tottumisesta tai siitä, että puhtaassa Apple-maailmassa kaikki toimii hyvin yhteen, mutta itse sekakäyttäjänä törmään jatkuvasti ongelmiin, joita Windows-puolella ei ole. Tässä yksi esimerkki.

Halusin tallentaa Powerpoint-esityksen diat jpeg-tiedostoina voidakseni esittää ne ilman Powerpointin apua. Macin Kuvat-ohjelma sotki kuitenkin diojen järjestyksen, eikä niitä saanut mitenkään siirrettyä takaisin oikeaan järjestykseen. Pari tuntia työaikaa tuhlaantui asiaan, jota ei Windowsissa olisi tarvinnut edes noteerata. Tietenkin jpeg-tiedostot saa esitettyä nimen mukaan.

Tässä havainnollinen esitys ilmiöstä. Käytän Powerpoint-esitystä, jonka dioissa on vain iso numero jokaisella sivulla. 

Alkuperäinen Powerpoint-esitys

Jpeg-tallennuksen jälkeen kansiossa on joukko kuvia nimillä Dia1.jpg, Dia2.jpg... Dia21.jpg. 

Jpeg-tiedostot Windowsin Dropbox-kansiossa.

Vaihdetaan sitten Macbook Airiin. Sielläkin tiedostonäkymä näyttää jpeg-tiedostot oikeassa järjestyksessä, kun lajitteluperusteena on Nimi. 

Finder-näkymä.

Jpeg-kuvat voisi näyttää suoraan tästä näkymästä, mutta Finder ei osaa vaihtaa seuraavalle riville kun tiedostoja kelataan nuoli eteen -painikkeella. Windowsissa tämä on hyvin kätevää. 

Lisätään kuvat sitten Kuvat-sovellukseen (iPhoto) ja luodaan niille selkeyden vuoksi oma Albumi (Sorttitesti). Nyt kuvat menevät outoon järjestykseen:

Kuvat-ohjelman nimijärjestys.

Ja kyllä, on valittu Näytä > Järjestä > Pidä järjestettynä nimen mukaan. 

Lajittelujärjestys on nimen mukaan.

Kummallista kyllä, aikajärjestykseen lajittelu antaa saman (tai käänteisen) virheellisen tuloksen.

Lajittelu ajan mukaan uusimmasta vanhimpaan.

Lopulta oivalsin, ettei näytössä näkyvä tiedostonimi olekaan kuvan nimi. Kun jokaiseen kuvaan kävi erikseen kirjoittamassa nimitiedon (samainen Dia2.jpg jne), järjestys muutti oikeaksi. Mutta mistä kummasta Kuvat-sovellus sitten arpoo nimen ja lajittelujärjestyksen, jos tiedostonimi ja tiedoston kellonaika/päiväys eivät merkitse mitään?

Tehdään sama koe Macin Powerpointilla ja tallennetaan jpeg-kuvat uuteen tiedostokansioon. Tässä Mac näyttää etunsa: tiedoston viennissä on mahdollisuus säätää jpeg-kuvien kokoa. Windows-versiossa tätä ominaisuutta ei ole, joten pitää joko hyväksyä oletusarvo tai vaikuttaa kokoon Powerpointin puolella diakokoa kasvattamalla.

Mac Powerpoint antaa säätää jpeg-dian kokoa.

Jotta edellisen testin Dia-nimiset kuvat eivät sotkisi lajittelua, poistin ensin albumin, kuvat sovelluksesta ja lopuksi vielä kuvatiedostot levyltä. Macin Powerpointin jpeg-tiedostot ovat eri nimisessä kansiossa. 

Ja kas kummaa, nyt kuvat ovat melkein oikeassa järjestyksessä - vain kakkonen on jostain syystä jonon hännillä. 

Kuvat melkein oikeassa järjestyksessä.

Vaihto aikajärjestykseen näyttää kuvat ihan oikein.

Aikajärjestys näyttää kuvat oikein.

Tässäkin tapauksessa kuvien nimikenttä on tyhjä, joten arvoitukseksi jää, minkä kentän perusteella Mac kuvat järjestää.

Ilmiö saattaa liittyä Dropboxiin, mutta se osoittaa joka tapauksessa sekakäytön vaarat.

lauantai 27. maaliskuuta 2021

Halpisadapteri vai Applen oma? Tässä tapauksessa ero oli selvä

Apple-koneet ovat kalliita, samoin niiden tarvikkeet. Olen etsinyt vastausta kysymykseen, kannattaako ostaa Applen oma Lightning-usb-välijohto vai puolet halvempi, värikäs ja ilmeisesti kestävämpi, kiinalaisvalmiste.

Purin yhden halpisjohdon ja vaikka Lightning-liitin on pieni, sen sisään on upotettu pieni mikropiiri ja muutama komponentti. Liitin tekee siis jotain, mutta epäselväksi jäi, mitä merkitystä sillä on, ja ovatko halpiskaapelit erilaisia kuin Applen omat. 

Omien kokemusteni mukaan halpisjohdot ovat kestävämpiä kuin Applen omat, enkä ole huomannut toiminnassa eroja. Olen kuullut myös päinvastaisia kokemuksia. Varsinkin usb-c-latauskaapeleissa voi olla toiminnallisia eroja liittyen siihen, kuinka paljon virtaa ne pyytävät laturilta.

Kerään aiheesta lisää kokemuksia. Yksi nettivertailu tässä linkissä.

Kaapelit ovat yksi asia, adapterit toinen. Vaikka Lightning-hdmi-adapteri näyttää yksinkertaiselta, kyseessä on tosiaan adapteri. Valkoisen kuoren sisällä on pieni prosessori, joka pakkaa kuvan hdmi-liitäntää varten.

Applen oma adapteri maksaa 49,99 euroa (Verkkokauppa.com) tai 55 euroa (Tector). Kuulostaa paljolta. eStore.nu -ettikaupasta löytyi halpa 13,90 euron malli. Tilasin myös toisen mallin, mutta se perui kaikessa hiljaisuudessa tilauksen ja jo maksamani rahat takaisin.

Halpa ei tässä tapauksessa ole hyvä, ei edes toimiva.

Halpisadapteri näyttää hyvältä, sillä johto on pitkä ja usb-virransyöttöä varten on oma pistoke. Paketissa tosin lukee, että kaapeli tukee iPhone X:ää ja iPad Air -laitteita.

iPhone 11 Pro -puhelimessani halpisversio ei toiminut juuri lainkaan. Staattinen kuva näkyi, mutta Yle Areena ja Elisa viihde sulkeutuivat pian avaamisen jälkeen. Toisin sanoen ne kaatuivat. Halpis ei myöskään toiminut ilman usb-virransyöttöä, mikä rajoitti käytön laturin läheisyyteen.

Air 2 -tabletissa kaapeli toimi paremmin, mutta sielläkin videota toistavat sovellukset pätkivät pahasti ja kuva muistutti enemmän sarjakuvaa kuin videota. 

Ei jatkoon.

Applen oma 50 euron adapteri toimi molemmissa laitteissa kuten piti, eikä vaatinut edes usb-laturin käyttöä. Videokuva näkyi sujuvana. Sille adapteri ei voi mitään, että Applen kameraohjelmat niin iPhoneissa kuin iPadeissa näyttävät omat painikkeensa videokuvan päällä, joten hdmi-adapteri ei riitä tekemään laitteista ylimääräistä videokameraa.

Tässä tapauksessa ei ole muuta vaihtoehtoa kuin maksaa 50 euroa Applen omasta merkkiadapterista.

perjantai 19. maaliskuuta 2021

Siisti MacBook Air -läppäri, mutta melkein käyttökelvoton

Itselläni on kaksikin MacBook Air -konetta. Ne ovat osoittautuneet kestäviksi ja hyviksi. Sain lahjoituksena vanhan 11" mallin ja ajattelin, että koska kone on siistissä kunnossa ja toimii hyvin, sitä pystyy käyttämään vielä eri tarkoituksiin. Eipä pystynytkään.

Läppäri on noin 10 vuotta vanha. Tietoja tästä Macista näyttää Mac OS X -versioksi 10.6.8 eikä sitä pysty päivittämään uudempaan. 

Tietoja tästä Macista.

Päivityspainike ei näytä uudempaa versiota. Sellaisen luultavasti saisi asentamalla rompulta, mutta ongelmana on vain kahden gigatavun keskusmuisti. Se on todella vähän ja tässä onkin Applen härskiä rahastusta: koneet myydään minimiosilla, joita ei voi laajentaa myöhemmin. Näin Apple maksimoi omat katteensa ja lyhentää näppärästi koneiden käyttöikää.

Tuohon aikaan markkinoilla myös joitakin Windows-läppäreitä myytiin kahden gigan RAM-muistilla, mutta ne olivat halpamalleja. Apple on aina ollut sieltä kalleimmasta päästä.

Suurin ongelma on selain (Safari 5.1.10 vuodelta 2013), joka ei avaa useimpia sivuja.

Maikkari vaatii päivittämään selaimen uudempaan.

Uudempaan Safari-selaimeen ei voi päivittää. Chromen voisi asentaa, mutta sekin varoittaa, että tässä OS X -versiossa toimivaa Chromea ei enää ylläpidetä. Ikivanhalla selaimella ei uskalla enää surffata.

Hesari ei aukene lainkaan:

Safari ei voi avata sivua - mutta miksei?

Hesarin toimimattomuus oli aluksi yllättävää. Miksei sivua voi avata? Ilmeisesti kyse on siitä, että kaikki ovat siirtyneet https-suojaukseen, eikä palvelin tue enää niitä SSL- ja TLS-tasoja, joita selain ymmärtää. Ssllabsin mukaan kyseinen Safari tukee vain TLS 1.0-1.3 ja SSL 2 sekä SSL 3. Kaikki tuetut salaimet (cipher) saivat arvon WEAK tai INSECURE.

Kyse ei siis ole varmenteiden vanhenemisesta, ne olisi voinut uusia päivittämällä. Pelkät http-sivut avautuvat, mutta niitä on vähän, ja niistäkin osa näkyy vanhan selaimen vuoksi väärin. Applen oma sivu (www.apple.com/fi) aukeaa edelleen, vaikka kuvat eivät näykään. Myös www.ampparit.com avautuu, mutta näkyy hassusti.

Aloin kokeilla, mitkä kuntien palvelimista avautuvat vanhalla selaimella. Hesarin tavoin Espoo, Helsinki, Turku, Savonlinna, Kokkola, Kouvola, Jyväskylä, Raahe, Sotkamo, Hamina ja Mikkeli eivät avaudu. Toimivia olivat Tampere, Kotka, Kuopio, Vantaa, Oulu, Hanko, Ivalo ja Rovaniemi; tosin niistäkin useimmat näkyivät hieman väärin. Tampereen sivut näkyivät oikein, Vantaa varoitti varmenteesta, jonka on allekirjoittanut ei luotettu myöntäjä (Entrust Certification Authority). Varoituksen ohittamalla sivut kuitenkin näkyivät.

Hmm... mitä tehdä koneella, jolla ei voi surffata? Voihan siihen asentaa Officen 2011-version ja käyttää vaikka kirjoituskoneena tai videomikserin tekstityksenä. 

Officen asennus onnistui hyvin, mutta salli vain muutaman käynnistyksen ennen rekisteröintiä. Se pysähtyi virheilmoitukseen:

"Internet-aktivointi ei onnistunut, koska et ole muodostanut internet-yhteyttä".

Virheelliset virheilmoitukset ovat aina yhtä ärsyttäviä. Yhteys oli kyllä olemassa, mutta ilmeisesti aktivointipalvelimeen ei saatu salattua yhteyttä, joten homma pysähtyi siihen.

Onneksi ohjelman voi rekisteröidä myös puhelinsoitolla Microsoftin automaattiin, joka vastaa suomalaisessa numerossa. Sille piti syöttää yhdeksän kuuden merkin numerosarjaa puhelimen näppäimistöltä ja vastaukseksi ääni kertoi saman verran numeroita, jotka piti kirjoittaa rekisteröintiohjelman kenttiin. Sen jälkeen Office oli rekisteröity ja se käynnistyi.

Kahden gigan muistilla ei isoja työtiedostoja käsitellä, mutta ei ole tarpeenkaan. Kevyt käyttö kevyelle koneelle riittää. Pääasia, että hyväkuntoinen kone sai vielä lisää käyttövuosia.

maanantai 15. maaliskuuta 2021

Stream Deck ja perinteisten painikkeiden viehätys

Elgaton Stream Deck on usb-porttiin lisättävä painikepaneeli. Mekaaniset painikkeet kuulostavat vanhanaikaisilta, kun nykyään puhelimissa ja jopa autoissa on siirrytty kosketusnäyttöihin. Mutta painikkeissa on oma viehätyksensä. Ne antavat selkeän palautteen tuntoaistille ja niitä on helppo käyttää sokkona, esimerkiksi videoneuvottelun aikana. Nimensä mukaisesti Stream Deckit ovat suosittuja peli- ja videostriimauksissa. 

Laitteesta on kolme versiota: Mini sisältää 6 painiketta, perusversio 15 ja XL-malli 24 painiketta. Hinnat ovat vastaavasti 100, 150 ja 270 euroa. Ei ihan halpaa, mutta jokainen näppäin on minikokoinen (72x72 pikselin) näyttö, mikä nostaa hintaa. Laitteet ovat olleet kiven alla, onnistuin viime viikolla nappaamaan yhden perusmallin (15 painiketta) Verkkokauppa.comin nettikaupasta, mutta nyt kaikki kolme näyttävät taas "Lähetettävissä: ei vahvistettu". 

Hallintaohjelma toimii sekä Windowsissa että Macintoshissa. Sillä asetetaan halutut toiminnot kullekin painikkeelle. Sovellus tekee enemmän kuin lähettää pelkkiä näppäinkomentoja, se pystyy ohjaamaan monia yleisiä sovelluksia. Painikkeet voivat olla myös vuorovaikutteisia ja vaihtaa "sivua", jolloin kaikkien painikkeiden kuvat ja toiminnot vaihtuvat. Hallintaohjelma pystyy myös vaihtamaan painikkeita automaattisesti sovelluksen mukaan. 

Lisäsin kokeilumielessä erilaisia valmiita toimintoja painikkeille.

Esimerkkejä painikkeiden käytöstä.

Ylinnä vasemmalla oleva painike avaa Helsingin Sanomien pääsivun. T-painike kirjoittaa aktiiviseen sovellukseen nimen ja yhteystiedot. Noppa-painike arpoo painettaessa silmäluvun 1-6. Ja niin edelleen.

Yksi painikkeista näyttää Bitcoinin kurssin. Joku voisi tehdä sovelluksen, joka näyttäisi kurssin viisi numeroa kukin omassa painikkeessa. Alla voisi olla osto- ja myyntinapit. 

Keskimmäinen rivistö ohjaa Spotifytä. Mahdollisuuksia on rajattomasti.

Stream Deck näytönsäästäjänä.

Vakiona on näytönsäästäjä, joka lataa painikkeisiin halutun valokuvan. Asetin kuvaksi kesällä ottamani iltaisen kuvan Helsingin tuomiokirkosta. 

Leikkimisen lisäksi painikepaletista on suurta hyötyä videoneuvotteluissa. Joku on tehnyt Teams-painikkeet ja Zoomin vastaava löytyy hallintaohjelmasta valmiina. Netistä löytyivät ohjelmoidut toiminnot myös Office-toimistosovelluksille, tosin vain Windows-versiolle.

Zoom-painikkeet

Atem Mini on suosittu videomikseri, jota käytetään osoittamalla hiirellä virtuaalisia painikkeita (itse laitteessa on painikkeet vain perustoiminnoille). Stream Deck muuttaa virtuaalipainikkeet todellisiksi, mikä helpottaa varsinkin makroja käynnistämistä. Painikkeet voi räätälöidä juuri omaan käyttöön sopivaksi, jolloin käyttö onnistuu ilman, että katsetta täytyy siirtää pois kamerasta.

Miinusta tulee muovisista painikkeista, jotka tuntuvat halvoilta ja joiden painaminen aiheuttaa hiljaisen klik-äänen.

maanantai 8. maaliskuuta 2021

TeamViewer estäminen ryhmäkäytännöllä (group policy)

Puheluhuijarit käyttävät etäkäyttöohjelmaa ottaessaan uhrin koneen haltuunsa. Entä jos estäisi TeamViewerin (ja AnyDeskin, toisen vastaavan ohjelman) käynnistymisen? Se toisi lisäturvaa omien vanhempien tai isovanhempien tietokoneelle. Yrityksiin toki myös, mutta niissä latauksia ja käynnistyksiä voidaan hallita muilla tietoturvaohjelmilla ja etähallinta on muutenkin yleensä käytössä. Ellei pk-yrityksessä näin ole, samaa ideaa voi käyttää muuallakin.

Ratkaisuna on group policy eli ryhmäkäytäntö. Se on vanha Windowsin ominaisuus, joka hyödyntää järjestelmärekisteriä ja lataa sinne ylläpidon sanelemat asetukset koneen kirjautuessa lähiverkkoon. Näin mikrotuki voi hallita satoja työasemia poistumatta omalta työpisteeltään.

Paikallisesti tehtynä ryhmäkäytäntö avataan kirjoittamalla komentoriville start gpedit.msc tai käynnistysvalikon hakukenttään yksinkertaisestai gpedit.msc. Käyttö vaatii järjestelmänvalvojan oikeudet, muutoin tuloksena on virheilmoitus "Sinulla ei ole oikeuksia toiminnon suorittamiseen". 

Sen jälkeen etsitään hierarkiasta kohta Käyttäjäasetukset > Hallintamallit > Järjestelmä > Älä suorita tiettyjä Windows-sovelluksia (User configuration > Administrative Templates > System >Don't run specified Windows applications):

Ryhmäkäytäntöeditori

Napsautetaan kohtaa ja kirjoitetaan kiellettyjen sovellusten tiedostonimet listaan:

Kiellettyjen sovellusten lista tiedostoniminä.

Tallentamisen jälkeen yritys käynnistää kielletty ohjelma mistä hakemistosta tahansa antaa virheilmoituksen:

TeamViewer Quick Supportin käynnistäminen estetty.

Jos käyttäjällä on koneeseen vain perusoikeudet (kuten pitäisi), hän ei pysty itse poistamaan suojausta.

Valitettavasti ryhmäkäytännöt toimivat vain Windows Pro-versioissa. Kotikäyttöön tarkoitetussa Home-versiossa on kyllä samat ominaisuudet, mutta ne on piilotettu ja käyttöönotto vaatii vähän näpertelyä.

Suojaus perustuu tiedoston nimeen. Jos puhelinhuijarit hoksaavat kikan, he voivat opastaa uhria vaihtamaan ohjelmatiedoston nimen. Tällainen temppu ei kuitenkaan ole ihan triviaali, etenkin jos uhrilla on suomenkielinen Windows ja hän lukee tekstin puhelimessa intialaiselle huijarille.

Ryhmäkäytännön varaan rakentuva AppLocker tarjoaa laajemman kontrollin, sillä ohjelmia voidaan estää tiedoston tiivisteen (hash) ja digitaalisen allekirjoituksen perusteella. Tätä kautta voitaisiin estää kaikkien TeamViewer AG:n ohjelmat eikä nimen vaihtaminen riittäisi eston kiertämiseen.

lauantai 6. maaliskuuta 2021

TeamViewer - huijarien suosikki

TeamViewer on saanut paljon julkisuutta Microsoft huijauspuheluiden ansiosta. Mutta millainen ohjelma oikein on kyseessä?

Kotisivulla www.Teamviewer.com ohjelmaa kehutaan kattavana etäkäyttö- ja videoneuvotteluratkaisuna, jonka perusversio on kotikäyttäjälle ilmainen. Ohjelmasta on versiot Windows-, Mac- ja Linux-käyttöjärjestelmille sekä iOS/Android-mobiililaitteille. “Teidän turvallisuus & yksityisyys on aina ollut meidän prioriteetti” kuulostaa huijausten valossa hieman ontolta lupaukselta.

TeamViewer: Trust and Security

Sivut ovat suomeksi ("Luotettava etäpääsy- ja etätukikumppanisi"), myös puhelinnumero on 09-alkuinen. Yhteystiedot-sivu ei kerro kotimaata, mutta löytyyhän sekin tieto lopulta: saksalainen, mikä on pieni yllätys.

TeamViewer löytyy helposti asennettavana versiona Windowsin omasta sovelluskaupasta (Store), mistä sen asentaminen on erityisen helppoa. Store-versio mainostaa etäkäyttöä, mutta jättää mainitsematta, että kohdekoneeseen tarvitaan ohjelman täysversio ja Storen riisutulla versiolla voi ainoastaan hallita muita koneita. Tekstistä "Etähallitse..." tarkkaavainen voi päätellä, ettei Store-versio kelpaa etäkäytön kohdekoneeseen.

TeamViewer on Store-kaupassa, mutta sitä voi käyttää vain toisen koneen hallintaan.

Täysversio on yksityiskäyttäjälle ilmainen. Kun se on asennettu, näytölle tulee ikkuna, joka kertoo ID-numeron ja salasanan. Näillä tiedoilla koneeseen saa yhteyden vaikka toiselta puolelta maailmaa. Helppoa ja kätevää, eikä palomuuri tule tielle, sillä ohjelma ei pyydä avaamaan tietoliikenneportteja. Ei ihme, että ohjelma on suosittu.

Kohdekoneen asetukset.

TeamViewer ehdottaa tilin luomista, mutta sitäkään ei tarvita. Käyttö on siten todella helppoa. Kun hallinta on annettu toiselle, näyttö säilyy avoimena ja hiiri liikkuu kuin aaveen ohjaamana.

Etäkäytön QuickSupport-versio on vielä yksinkertaisempi: 

TeamViewer QuickSupport-versio on vielä yksinkertaisempi.

Huijarit lähettävät uhrille linkin QS-versioon, jolloin ohjelma asentaa itsensä temp-hakemistoon ja käynnistyy automaattisesti. 

Etäkäyttäjälle itselleen (sinne Intiaan) riittää vaikka pelkkä Store-versio; ainoa tiedettävä asia on ID-numero (ja myöhemmin kysyttävä salasana).

Etähallitsijan näkymä.

Käytön jälkeen ohjelma muistuttaa vielä ilmaisversion rajoituksista ja kiittää rehdistä käytöstä. Se kuulostaa suorastaan ironiselta. 

"Kiitos, että pelaat rehdisti!"

Lupauksensa mukaisesti TeamViewer on mahtava apu esimerkiksi opastusta tai käyttötukea tarvitsevalle. Valitettavasti vain huijarit ovat myös huomanneet sen potentiaalin. 

TeamViewer jättää kohdekoneen levylle yksityiskohtaiset lokitiedot käytöstä, joten niistä voisi olla hyötyä tapahtumien selvittelyssä. En ole kuullut, että poliisi olisi edes yrittänyt selvittää tapahtumia tai tutkinut näitä lokitiedostoja. Läheltä seuraamassani tapauksessa uhrin kone vietiin tyhjennettäväksi ja käyttöjärjestelmä asennettiin uudestaan, koska rikosilmoituksen vastaanottanut poliisi ei ollut kiinnostunut todistusaineiston tutkimisesta.

Windowsissa olisi valmis etäkäyttöohjelma Remote Desktop (Etätyöpöytä), mutta se vaatii uhrin koneeseen Pro-version, jota useimmilla kotikäyttäjillä ei ole. Remote Desktop lukitsee näytön käytön ajaksi, joten uhri ei näe mitä koneella tehdään. TeamViewerin avulla molemmat voivat käyttää konetta yhtä aikaa. Ehkä tämänkin vuoksi huijarit suosivat TeamVieweriä.

Oleellinen kysymys on, miten voisi suojata omien tuttujen ja vanhempien koneet niin, että TeamViewerin asentaminen ja käyttö estyisi jo etukäteen.

Yleensä Windows-konetta voi suojata antamalla käyttäjälle vain perusoikeudet, jotka estävät Windowsin asetusten muuttamisen ja sovellusten asentamisen. Esto koskee kuitenkin vain sovelluksia, jotka asentavat itsensä C:\Program Files -hakemiston alle, sillä kansio on suojattu käyttäjäoikeuksilla.

TeamViewer (ja eräät muutkin ohjelmat, kuten Chrome-selain) asentaa itsensä käyttäjän omaan temp-hakemistoon C:\users\tunnus\AppData\Local\Temp\TeamViewer, johon käyttäjällä on aina kirjoitusoikeus. Näin ollen Team Viewerin asennusta ei voi estää käyttöoikeuksilla. 

Kokeillessani perusoikeuksilla TeamViewer ei asentanut kuvakettaan työpöydälle eikä ohjelmavalikkoon, mutta asennuksen jälkeen ohjelma käynnistyi normaalisti ja siihen pystyi ottamaan yhteyden tavalliseen tapaan. Perusoikeudet siis hieman heikentävät käytettävyyttä, mutta eivät estä sitä.

Toinen vaihtoehto olisi käyttää lapsitiliä, jota käyttäen vanhemmat voivat estää pääsyn haitallisille web-sivuille. Tämä estäisi ohjelman lataamisen.

Vielä yksi mahdollisuus olisi estää TeamViewerin ip-osoitteiden toiminta hosts-listan avulla. Se on kuitenkin hankalaa, sillä näin pilviaikana ip-osoitteita voi olla loputon joukko, joiden kaikkien torppaaminen on mahdotonta. DNS-kyselyyn puuttuminen ja nimenselvittelyn estäminen voisi olla parempi tapa, mutta sekin vaatii paljon näpertelyä.

Valitettavasti mikään näistä tavoista ei ole ihan helppo toteuttaa eikä pomminvarma. Paras suojaus on jatkossakin oma varovaisuus ja tieto siitä, ETTEI MICROSOFT MILLOINKAAN SOITA KOTIIN, oli käyttäjällä millainen ongelma tahansa!

torstai 4. maaliskuuta 2021

Microsoft-tilin ongelma ("todennäköisesti salasanasi on muuttunut") hämmentää

Todella moni (myös allekirjoittanut!) on ihmetellyt Windows 10:n oikeaan alanurkkaan ilmestyvää ilmoitusta "Microsoft-tilin ongelma Sinun on korjattava Microsoft-tilisi (todennäköisesti salasanasi on muuttunut). Valitsemalla tämän voit korjata tilin jaettujen kokemusten asetuksissa."

Siis mitä?

Microsoft-tilin ongelma - mutta missä?

Ilmoituksessa viitataan "jaettuihin kokemuksiin" -- termi, josta en ollut kuullutkaan, vaikka seuraan asioita työkseni.

Piti selvitellä asioita. Jaetut kokemukset ovat ilmeisesti Microsoftin vastine Applen Handoff-toiminnolle, mikä sinällään on erittäin näppärä. Ongelma on, ettei Microsoft ole kertonut toiminnosta riittävästi, ja ettei juuri mikään sovellus edes tue sitä. 

Jos Microsoftilla olisi yhä puhelimia, saumaton yhteistyö niiden ja pöytäkoneen/läppärin välillä olisi kiinnostava (kuten Applella), mutta toiminnon toteuttaminen Android-sovelluksiin on kangerrellut. Ylipäätään Android-puhelimen yhdistäminen Windowsiin on niin hankala, että harva siihen edes ryhtyy.

Toiminto on siis likipitäen hyödytön ja tuottaa tällä hetkellä lähinnä harmaita hiuksia.

Virhe korjataan Asetukset > Järjestelmä > Jaetut kokemukset

Jaetut kokemukset > Korjaa nyt.

ja sitten Korjaa nyt. Sen jälkeen ongelma oli tosiaan korjattu:

Korjattu! "Kaikki tilit toimivat oikein"

Ongelman taustalla on se, että toiminnon käyttäminen edellyttää saman tilin käyttöä kaikissa laitteissa. Jos toiminnon haluaa pitää voimassa ja aktiivisena, Tilien hallinta -painike näyttää käytössä olevat tilit ja niistä pitää tarkistaa, että eri koneissa tileillä on samat salasanat. Epäselväksi jäi, mitä Windows tässä oikein korjasi ja miksei se tehnyt sitä alunperinkin hämmentävän virheilmoituksen sijaan.

Toiminto kannattaa kytkeä kokonaan pois päältä (Jaetut kokemukset > Jaa kaikissa laitteissa > Ei käytössä).

Jaa kaikissa laitteissa: Ei käytössä

Lisäksi Windowsissa on Applen Airdropia matkiva helppo tiedostosiirto ("Lähijako"), joka näkyy vain, mikäli koneessa on Bluetooth-yhteys (pöytäkoneissa ei useinkaan ole). Myös se kannattaa sammuttaa, ellei sille ole käyttöä.

Lähijako siirtää tiedostoja koneiden välillä.

Apple-maailmassa sekä Airdrop että Handoff toimivat hyvin, kunhan koneet ovat riittävän lähekkäin (Bluetoothin kantomatkan sisällä). Handoff vaatii, että laitteisiin on kirjauduttu samalla AppleID:llä, Airdrop toimii myös siirrettäessä esim. kuvia kaverin koneesta itselle. 

Handoff voi olla hyvinkin näppärä. Voin esimerkiksi aloittaa tekstin kirjoittamisen iPhonen Pages-ohjelmalla:

Aloitetaan työ iPhonella...

Lähellä olevan tietokoneen alarivillä näkyy sovelluskuvakkeen päällä pieni merkki:

OS X tunnistaa lähellä olevan iPhonen sovelluksen.

Sitä napsauttamalla koneen oma Pages-ohjelma avautuu ja tekstiä voi muokata siitä, mihin iPhonessa on jääty. Puhelimen tiedostoa ei tarvitse sulkea; toisaalta muutokset eivät näy reaaliajassa kirjoituksen aikana.

Kirjoittaminen jatkuu tietokoneen puolella.

Näin "jaettu kokemus" toimii silloin kun se toimii. Windowsin kokemus ei toimi, vaan tuottaa lähinnä ongelmia ja hämmentävän virheilmoituksen.

tiistai 2. maaliskuuta 2021

Canon R ja USB-lataus

Yksi Canon R -kameran tervetulleista ominaisuuksista oli mahdollisuus usb-lataukseen. Niin ainakin esitteessä luki, mutta se ei ollutkaan ihan sitä mitä odotin.

Usb-portista on jo pitkään voinut ladata kaikenlaisia pienlaitteita, aina puhelimiin asti. Niinpä kytkin usb-laturista piuhan kameran usb-porttiin ja ihmettelin, kun mitään ei tapahtunut.

Asia ei ollutkaan niin yksinkertainen. Canon R tukee vain usb-c-standardin mukaista latausta, jonka portti on merkitty kirjaimilla "PD" (power delivery). Se tarkoittaa, että portista tulee sähköä kymmenien wattien teholla. Vanhat matkalaturit eivät tähän pysty -- tietokoneen usb-porteista puhumattakaan -- mutta uusissa virtapankeissa, monitoreissa ja latureissa PD-teksti saattaa löytyä.

PD-laturit ovat tavallista arvokkaampia, ilmeisesti teho- ja patenttimaksujen vuoksi. Tänään osui Verkkokauppa.comissa silmiin 59,90 euron hintainen Fuj:Techin laturi, joka lupasi 100 W lataustehon. Kalliimpi kilpaileva malli lupasi vain 75 W, joten tein heräteostoksen. Hauskana yksityiskohtana Verkkokauppa.com lähetti automaattisesti sähköpostiin linkin käyttöohjeen pdf-versioon, joka tosin oli paketissa paperiversiona ja likipitäen tarpeeton.

Laturikaaos on nykyään melkoinen, kun ladattavia laitteita on joka puolella.

Fuj:tech USB-C 100 W PD + QC3.0 -verkkovirtalaturi

Itse laite on yksinkertainen, vain neljä porttia: kaksi tavallista usb:tä ja kaksi usb-c-versiota.

Laturin etulevy.

Ensimmäinen yritys ladata Canon R -kameraa ei kuitenkaan onnistunut. Kamera pysyi pimeänä. Mistäs nyt vielä kiikastaa?

Selvisi, että usb-lataus toimii vain uusilla N-sarjan akuilla. Sellainen tulee kameran mukana, mutta itselläni on aiemmista Canoneista jäänyt vastaavia akkuja ja ne eivät lataudu.

Usb-lataus toimii vain LP-E6N -akuilla (oikealla).

Kameran pitää olla sammutettuna, jotta akku latautuisi, joten valitettavasti tästä ei ole videoneuvotteluissa tarpeellisen ulkoisen virtalähteen korvaajaksi. Se on edelleen kallis ja kiven alla

Merkkinä latauksesta lcd-paneelissa näkyy teksti ja kameran takaseinässä palaa pieni vihreä merkkivalo. 

Vihdoin palkitseva näky: sehän latautuu.

Usb-laturin hienous on siinä, ettei matkalle tarvitse jatkossa ottaa kuin yksi yleiskäyttöinen laturi. Kunhan vain löytää sen, joka toimii omien laitteiden kanssa. Käsittääkseni usb-c-kaapelit ovat tässä suhteessa samanlaisia, joten yhteensopivuus määräytyy lähinnä laitteen ja laturin väliltä.

Mutta asiassa on silti yllätyksiä. Halvalle laturille luvattu 100 wattia taitaa olla liioittelua, ainakin Verkkokauppa.comin palautteissa ostajat kertoivat ettei teho riitä heillä läppärin lataamiseen. Jos haluaa ladata myös niitä, asia kannattaa varmistaa etukäteen.

Universaali usb-c-laturi kaikille laitteille on hyvä idea, mutta sen toteutuminen ei ole vielä automaattista.

perjantai 26. helmikuuta 2021

Kun MacBook ei mene wifi-verkkoon

Apple-fanien mielestä Mac-koneet ovat niin helppoja, etteivät ne tarvitse lainkaan tukipalveluita. Itselläni on hieman toisenlaisia kokemuksia.

Toista MacBook Air -kannettavaani vaivasi pitkään omituinen vaiva: se löysi wifi-verkon ja kytkeytyi siihen normaalisti, mutta data ei vain lähtenyt liikkumaan. Ei virheilmoitusta, ei mitään. Tukiasemassa ei voinut olla vikaa, sillä wifi ei toiminut edes iPhonesta jaettaessa. Wifi alkoi toimia vasta uudelleenkäynnistämisen jälkeen, ja sitten kaikki toimikin ihan normaalisti. Ärsyttävää.

Lopulta löysin ratkaisun googlaamalla. Jaan sen tässä mahdollisesti muiden ilmiöstä kärsivien kanssa. 

Wifi alkaa toimia perustamalla uusi käyttöpaikka (Järjestelmäasetukset > Verkko > Käyttöpaikka > Muokkaa käyttöpaikkoja > Plus-merkki).

Uuden käyttöpaikan perustaminen saa wifin toimimaan.

Oletusarvona Käyttöpaikka-kentässä lukee Automaattinen. Se muistaa kaikki aiemmat wifi-verkot, joihin laitteella on liitetty (Lisävalinnat... > Wi-Fi > Ensisijaiset verkot).

Uusi käyttöpaikka luodaan painamalla plus-merkkiä. Kun tämä käyttöpaikka jätetään valituksi, wifi-yhteys kytkeytyy automaattisesti koneen herätessä lepotilasta, kuten pitääkin.

Lisäys 10.3.2021: Ilo oli ennenaikainen, vanha wifi-ongelma palasi jälleen. Onneksi nyt ei enää tarvitse buutata läppäriä, vaan Käyttöpaikka-kentän vaihto auttaa. Kun on kaksi, voi vuorotella niiden välillä. Vaikka verkot ovat aivan samat, kirjautuminen onnistuu vasta kun käyttöpaikkaa on vaihdettu.

lauantai 13. helmikuuta 2021

Rodulf IKEA sähköpöytä

Etätyön ja kotitoimistojen myötä säädettävistä sähköpöydistä on tullut suosittuja. IKEA myy 199 eurolla manuaalisesti kammella nostettavaa mallia, mutta kun laittaa 100 euroa lisää, saa jo aidosti sähköisen version.

Satanen kannattaa maksaa, sillä painonapeista nouseva ja laskeva pöytä on mainio laite. Ainoa ongelma on saatavuudessa. Rodulf-pöytiä löytyi vain Raision IKEAsta, mutta puhelinmyynti neuvoi mainion kikan: 229 euron jalat voi ostaa Espoosta ja 70 euron pöytälevyn Vantaalta. Kävin hakemassa ne ja runsaan tunnin kokoamisen jälkeen pöytä oli valmis. 

Sähköpöytä videoneuvottelujen alustana.

Pöytälevyn mitat ovat 140x80 senttiä, mikä on juuri sopiva koko tavallista toimistotyötä tai esimerkiksi videoneuvotteluja varten. Videokäytössä säädettävyys on suuri etu, koska kameran ja näytön voi nostaa sopivalle korkeudelle. Jatkossa kiinnitän vielä valot pöytälevyyn, jolloin nekin nousevat ja laskevat muun laitteiston mukana.

Pitkiin neuvotteluihin on mukava osallistua tuolissa istuen, mutta omia esityksiä varten seisoma-asento on parempi. 

Laitteisto toiselta puolelta nähtynä.

Pöytä on yhtä kaaosta, mutta sille on syynsä: kokeilen erilaisia laitteita ja yhdistelmiä, joten kaapeleita ei kannata kiinnittää pysyvämmin. Esittelen laitteistoa ja niistä tekemiäni havaintoja myöhemmissä kirjoituksissa.

Ruuvasin pöydän alapintaan pitkän rivistön sähköpistokkeita. Oli pistokkeet sijoitettu miten tahansa, erilaiset muuntajat tulevat toistensa tielle ja osa rasioista jää käyttämättä. Olisi parempi hankkia kaksi lyhempää jatkojohtoa, jossa molemmissa pistokkeet tulisivat eri suuntiin.

Rodulf vaikuttaa kaikin puolin tukevalta. Jalat ovat mekanismia ja moottori jaksaa nostaa pöytälevyn kaikkine koneineen. 

Pöydän mekanismi vaikuttaa tukevalta.

Nostopainikkeet voi ruuvata joko oikealle tai vasemmalle. Kannattaa kuitenkin huomata, että oikeakätisen tulee ruuvata ne kokoamisvaiheessa vasemmalle, sillä pöydän pystyyn kääntäminen saattaa yllättää.

Toinen yllätys on siinä, että pultteja on kahta pituutta, ja niitä pidempiä tarvitaan vasta lopuksi. Jos ei ole tarkkana, ne tulee käytettyä jo edeltävässä vaiheessa.

Pöydässä on vain yksi ongelma: jos sen päällä on kamera, näppäimistön naputtelu tai muu käyttö saavat pöydän hieman värähtämään, mikä näkyy heti videokuvan heilahtamisena. Muussa työskentelyssä ilmiö ei haittaa.

Ja pöydän nimi on todellakin Rodulf, ei Rudolf tai Rodulfo. IKEAn tuotenimet ovat ihan oma taiteenlajinsa.

lauantai 6. helmikuuta 2021

Langaton näppäimistö älypuhelimeen

Jos joutuu kirjoittamaan pidempiä tekstejä älypuhelimella, alkaa kaivata kunnollista näppäimistöä. Langaton Bluetooth-näppäimistö on helppo linkittää puhelimeen. Kun paritus on voimassa, näppäimistöltä kirjoitettu teksti menee älypuhelimen sovellukseen aivan kuten se olisi kirjoitettu puhelimella. Ja mikä vielä parempaa: näppäimistön ctrl+nuoli ym. yhdistelmät toimivat, samoin nuolinäppäimet (vaikkei niitä älypuhelimessa olekaan). Tekstin maalaus onnistuu pitämällä shift-näppäintä pohjassa.

Kirjoittaminen käy helpommin langattomalla näppäimistöllä.

Testasin iPhonen ja Microsoft Sculpt Mobile Keyboard langattoman näppäimistön liittämistä. Näppäimistön parittaminen vaatii kynää tai muuta terävää kärkeä, koska pieni yhdistyspainike on upotettu näppäimistön alapintaan, mutta parituksen jälkeen kaikki toimi ongelmitta. 

Mobiilinäppäimistö toimi myös, paritus siinä jopa helpompi, koska se tehdään näppäimistöltä itseltään. Ainoa ongelma oli, ettei tässä mallissa ollut ääkkösiä. Myös joitakin välimerkkejä joutuu etsimään epästandardeilta paikoilta. Mutta mikään ei silti korvaa tuntopalautetta, kun näppäin oikeasti painuu alaspäin kirjoitettaessa.

Nuolinäppäinten ansiosta tekstin korjailu on helppoa.

Molemmissa näppäimistöissä paritus piti hyväksyä kirjoittamalla niiltä puhelimen ilmoittama nelinumeroinen pin-koodi. Sillä varmistetaan, että kytkentä osuu oikeaan laitteeseen.

Näppäimistön paritus iPhoneen

Käytössä on muutamia rajoituksia. Ihan muutamaa sanaa varten paritusta ei kannata lähteä tekemään. Kun näppäimistö on aktiivinen, puhelimen oma softanäppis ei tule näkyviin, mikä voi joissain tilanteissa olla ongelma.

Käyttö onnistuu yhtä hyvin Android-puhelimen kanssa.

Ja jos näppäimistöä kaipaa vain Whatsapp-ohjelmassa, on helpompi käyttää ohjelman Web-versiota yhdistämällä tili selaimeen. Se on helppo tehdä, web-versio neuvoo tarvittavan valikkoasetuksen. Sen jälkeen Whatsappia voi käyttää iPadistä tai tietokoneen selaimella. 

lauantai 16. tammikuuta 2021

Palomuurin vuosiraportti 2020

Olen  usean vuoden ajan seurannut palomuuriin tulevia "koputuksia". Ne eivät ole vakavia kyberhyökkäyksiä tai tietomurtoja, pikemminkin satunnaista testausta, mistä löytyy avoimia laitteita. Koska IP-osoite on kiinteä eikä siitä ole mitään lähtevää liikennettä, vertailu eri vuosien välillä kuvaa nettiliikenteessä tapahtuneita muutoksia. 

Vuoden 2019 seuranta tosin epäonnistui, sillä edeltävään vuoteen verrattuna liikenne kasvoi niin paljon, että loki ehti täyttyä ja vain puolet vuoden koputuksista saatiin talteen. Niistä laskettu vuorokauden keskiarvo oli 4166 koputusta. Harppaus oli melkoinen, sillä 2018 koputuksia oli vuorokaudessa keskimäärin vain 2548. 

Vuonna 2020 koputukset lisääntyivät edelleen 49 prosentilla ja niitä oli 6194 kappaletta vuorokaudessa. 

Palomuurin lokirivit kuukausittain.

Jostain syystä marraskuu nousee muita selvästi aktiivisemmaksi, samoin heinä- ja huhtikuut. 

Palomuuri viikoittain.

Kuukausipiikit näyttävät johtuvan viikkopiikeistä: viikot 18, 27, 45 ja 48 olivat erityisen aktiivisia. Ilmeisesti silloin levisi jokin iot-haittaohjelma, sillä niiden käyttämä Telnet-protokolla johtaa protokollalistaa.

Koputukset protokollaportin mukaan.

Erityisen paljon kokeiluja kohdistui portteihin 23 (Telnet) sekä Windowsin tiedostojakoporttiin 445 (SMB). Myös vanha suosikki 1433 (MS SQL) roikkuu edelleen mukana. Http on pudonnut sijalle neljä ja ssh sijalle kuusi. 

Prosentteina Telnet nyt 5,6 % kaikista (vuosi sitten 8,5 %), SMB 5,2 % (1,9 %), SQL 2,4 % (1,5 %), http 1,2 % (1,5 %) ja ssh 1,1 % (1,1 %).Telnetin osuus on siis laskenut, tiedostojen jaon selvästi noussut. 

Kiinnostavia ovat Ethereumin käyttämä 8545, Memcached-välimuistiohjelman 11211 sekä MikroTik-reitittimiin yhdistetty 8291. MikroTik tuli tunnetuksi NSA:n sille räätälöimän vakoiluohjelman ansiosta. 

Vuoden 2007 tilastossa liikennettä oli yhteensä saman verran kuin nyt yhdestä ainoasta IP-osoitteesta. Los Angelesissa sijaitsevalle DediPath-nimiselle operaattorille kuuluvasta osoitteesta tuli 61 357 yritystä. Seuraavina olivat IP Volume sekä kolumbialainen Network Dedicated SAS. 

Sitten tuli pari venäläistä verkkoa ja Arbor Observatory, jonka IP-osoite 146.88.240.4 on listattu myös Blackhat Directoryssa: https://www.blackhat.directory/ip/146.88.240.4 monenlaisten hyökkäysten lähteenä.

Arbor Observatory ei ole tähtikaukoputki vaan verkon tietoturvapuutteita skannaava yritys ja sen Netscout-palvelu. Osoitteesta on tullut yrityksiä vuoden 2020 jokaisena päivänä, useilla eri protokollilla, yhteensä 11766 kertaa. Aikaeron huomioiden koputukset ovat tapahtuneet amerikkalaiseen virka-aikaan.

Jos yksittäistä ip-osoitetta on "pommitettu" vuodessa yli kymmentuhatta kertaa, ja sama pommitus on kohdistettu tasaisesti kaikkiin neljään miljardiin osoitteeseen, heidän tuottamansa kokonaisliikenteen täytyy olla huima. Vastaava piikki aiheutui joitakin vuosia sitten Shodan-hakukoneesta.

Koputuksia/vrk eri vuosina

Vuositasolla liikennemäärä on hypähtänyt ylöspäin erityisesti vuosina 2016, 2019 ja 2020.