IF lähetti jälleen vastauksen suojaamattomana sähköpostina
Matti Kaki
tietoa heidän maksamistaan korvauksista, vaikka aiemmin niistä
säännönmukaisesti tiedotettiin?
Ja kas kummaa. Tapahtui sama kuin viime vuonna. IF lähetti minulle
vastauksen suojaamattomana sähköpostina vaikka olin kysynyt asiaa
pankkiavainten avulla salattuun viestiyhteyteen kirjautuneena.
Tein vuosi sitten ilmoituksen Tietosuojavaltuutetun toimistoon
koska silloin sähköpostin mukana tuli myös henkilötunnukseni,
asiakasnumeroni ja käyttäjätunnukseni. Nyt ei sentään noita
tullut mutten kyllä halua salattua yhteyttä pitkin laittamiini
kysymyksiin vastausta tavallisena sähköpostina. Sieltä tuli
myös korvauspäätös dokumenttina mikä sekään ei ole kiva asia.
No, se vastaus kuitenkin oli seuraava:
- - -
Oheisena korvauspäätös ilkivaltavahingostasta maksamastamme
korvauksesta TLT-tuulilasitiimi Oy:lle.
Tällaisista esim. korjaamolle maksamista korvauksista
emme ole lähettäneet vakuutuksenottajalle tietoa.
Asiakkaan / vakuutuksenottajan tilille maksamista
korvauksista lähetämme korvauspäätöksen.
- - -
--
Matti Kaki at iki dot fi http://www.sci.fi/~oh2bio
=========== Location: 60.414 N 25.097 E ===========
Navigare Necesse Est - Vivere Non Est Necesse
Ari Laitinen
> Ja kas kummaa. Tapahtui sama kuin viime vuonna. IF lähetti minulle
> vastauksen suojaamattomana sähköpostina vaikka olin kysynyt asiaa
> pankkiavainten avulla salattuun viestiyhteyteen kirjautuneena.
Ovat huomanneet, että roskapostia tulee vähemmän kun viestit lähetetään
mutkikkaasti ja myös sen, että jos niihin vastaa mutkikkaalla tavalla ei
asiakas huomaa niitä lukea. Esim. minä luen pankin lähettämät tärkeät
tiedotteet kaksi kertaa vuodessa tästä syystä.
Matti Kaki
Jos olen lähettänyt kysymyksen salattua yhteyttä pitkin, odotan
tietenkin sinne vastausta. IFillä on optio, jossa lähetetään
uusista viesteistä tieto sähköpostiin. Tämä taitaa sotkea IF:in
omaa väkeä joka vastaa kyseiseen sähköpostiin. IFin henkilökunta
luulee, että ulos meneväkin sähköpostiliikenne on suojattua.
Sain nimittäin seuraavanlaisen vastauksen juuri äsken:
- - -
Miksi olette jälleen lähettäneet minulle suojaamattomana
sähköpostina minun ja IFin välistä luottamuksellista postia?
Laitoin kyselyn salattua yhteyttä pitkin ja haluan vastaukset
myös salattuna. Kiitos.
Matti Käki
Hei!
Kyllä Ifin sähköposti on suojattu eli tämäkin viesti on
suojattua sähköpostia.
Ystävällisin terveisin
Pxxxxx Lxxxxxxxxx
Pasi Pikkupeura
> Laitoin kyselyn salattua yhteyttä pitkin ja haluan vastaukset
> myös salattuna.
Minäpä en halua. En myöskään tarvitse foliohattua.
Kun olen varmistanut, että vakuutusyhtiöllä/pankilla/taholla on
minun oikeat yhteystietoini, niin todennäköisyys sille, että
vakuutusyhtiön/pankin/tahon minulle lähettämä viesti joutuu
väärille teille on pieni.
Todennäköisyys lähentelee nollaa, jos otetaan huomioon vielä
sellainen mahdollisuus, että sillä vakuutusyhtiön/pankin/tahon
viestillä olisi jotain käytännön hyötyä kenellekään muulle kuin
minulle itselleni.
> Kiitos.
Ollos hyvä.
Mutta ei se IF:n vika ole, mitä sinä ja asianajotoimistosi
olette keskenään junailleet. Turhaa sinä heille kiukuttelet.
Matti Kaki
>
>
>"Matti Kaki" kirjoitti:
>> Laitoin kyselyn salattua yhteyttä pitkin ja haluan vastaukset
>> myös salattuna.
>
>Minäpä en halua. En myöskään tarvitse foliohattua.
Salattu yhteys on pankkien, ja tässä tapauksessa vakuutyhtiön,
tapa suojata kysely-yhteys. Jos asiaksa haluaa kysyä jotain
sellaista asiaa, joka on luottamuksellinen, kuten vaikkapa
oman tilinsä tietoja tai vakuutuksen yksityiskohtia, pitää
tähän olla mahdollisuus ilman, että keskustelu voi vuotaa
jonnekin muualle.
Tämä kuuluu tietosuojaan. Tietosyuoja on nyky-yhteiskunnassa
hyvin tärekä ominaisuus. Valitettavasti kaikki ihmiset eivät
tätä ymmärrä. Minulle oli yllättävää se, että sinä et pidä
pankin ja/tai vakuutuyhtiön ja asiakkaan välistä yhteydenpitoa
salauksen arvoisena. Kaltaistesi henkilöiden vuoksi pitää koko
ajan kehittää tiukempia systeemejä. Uutisissakin kerrottiin,
että PK-yrityksen suurin tietoturvariksi ovat työntekijät.
Timo Pietilä
> omaa väkeä joka vastaa kyseiseen sähköpostiin. IFin henkilökunta
> luulee, että ulos meneväkin sähköpostiliikenne on suojattua.
> Sain nimittäin seuraavanlaisen vastauksen juuri äsken:
Miksi ei olisi? Eihän se vaadi kuin pikkuruisen muutoksen lähtevän
postin palvelimeen, niin että se vaatii autentikoinnin ja kryptauksen
lähettäjän koneen ja smtp-serverin välille, ja sitten StartTLS -
suojauksen palvelinten väliin. Tietty sitten vastaanottavan pään
tietoturva saattaa olla mitäsattuu, mutta lähtiessään se voi hyvinkin
olla suojattu.
Timo Pietilä
Kalevi Kasvi
news:YZy4i.167655$BE2....@reader1.news.saunalahti.fi...
> hyvin tärekä ominaisuus. Valitettavasti kaikki ihmiset eivät
> tätä ymmärrä. Minulle oli yllättävää se, että sinä et pidä
> pankin ja/tai vakuutuyhtiön ja asiakkaan välistä yhteydenpitoa
> salauksen arvoisena. Kaltaistesi henkilöiden vuoksi pitää koko
> ajan kehittää tiukempia systeemejä. Uutisissakin kerrottiin,
> että PK-yrityksen suurin tietoturvariksi ovat työntekijät.
Ihme logiikkaa sinulla.
Tiukempia systeemeitä kehitetään siksi että on olemassa ihmisiä/tahoja jotka
yrittävät rikollisin tarkoituksin hyötyä esimerkiksi pankin ja asiakkaan
välisestä liikenteenteestä, ei siksi että asiakas ei pidä tuota liikennettä
"salauksen arvoisena".
--
Kalevi Kasvi
Pasi Pikkupeura
> Salattu yhteys on pankkien, ja tässä tapauksessa vakuutyhtiön,
> tapa suojata kysely-yhteys.
Olet näköjään kuullut uuden termin tietämättä sen sisältöä.
Transaktiot ja siinä tapahtuvat kyselyt ovat erikseen. Se ei
varsinaisesti ole vielä kysely-yhteys, jos sinä kysyt pankin tai
vakuutusyhtiön asiakaspalvelusta jotain.
Pelkkää jokapäiväistä ihmisten välistä viestiliikennettä on
turha alkaa liiaksi vaikeuttamaan.
Jos sinulle itsellesi on yksi huilu, kuinka kankeaksi pankin
tai vakuutusyhtiön ja asiakkaan välinen viestiliikenne on tehty,
niin ajattele niitä kaikkia vanhuksia ja hiirenkäyttötaidottomia,
joiden etuja puolustat.
> Tämä kuuluu tietosuojaan. Tietosyuoja on nyky-yhteiskunnassa
> hyvin tärekä ominaisuus. Valitettavasti kaikki ihmiset eivät
> tätä ymmärrä. Minulle oli yllättävää se, että sinä et pidä
> pankin ja/tai vakuutuyhtiön ja asiakkaan välistä yhteydenpitoa
> salauksen arvoisena.
Minä muistan edelleen sinun liimatippasi, tunnuslukukortin
kopioitsemiset ja pankkien runkoverkkojen kaappaamiset. Sanoisin,
että sinulla on suhteellisuuden taju pahasti hukassa, etkä tiedä
tietoturva-asioista tuon taivaallista, etkä myöskään usko mitä
tietävämmät (en tarkoita itseäni) sinulle kertovat.
"Matti Käelle on maksettu vuonna 2006 n euroa korvauksia" ei ole
minkään arvoinen tieto suojata kovin tiukast - vaikka sinä ehkä
niin haluaisitkin.
> Uutisissakin kerrottiin,
> että PK-yrityksen suurin tietoturvariksi ovat työntekijät.
Sinulle on phisingistä, sosiaalisesta hakkeroinneista sun muista
huijauksista varoiteltu aiemminkin lähinnä siitä syystä, että
sinä itse olet niitä tietämättäsi tai tahallasi harjoittanut.
Sinulle on toisto toiston perään sanottu, että pahin
tietoturva-aukko on käyttäjä itse, ja sen olet turvalukujen
kopioinnilla web-sivuillesi itsekin todistanut. Etkä myöskään
millään suostu pitämään ohjelmiasi ajantasalla, vaikka kovasti
tunnut kantavan huolta niistä asioista, joita ohjelmapäivityksissä
korjataan.
Matti Kaki
Olet oikeassa. Tuli vaan mieleeni, että olisiko peräti niin
onnettomasti, että IFin ATK-osastokin on erehtynyt tuossa
suhteessa. Luulevat mahdollisesti, että maili oikeasti on
suojattua. Se nimittäin selittäisi sen, että henkilökunnalla
on edelleenkin käsitys suojatusta sähköpostista.
Matti Kaki
>
>
>"Matti Kaki" kirjoitti:
>> Salattu yhteys on pankkien, ja tässä tapauksessa vakuutyhtiön,
>> tapa suojata kysely-yhteys.
>
>Olet näköjään kuullut uuden termin tietämättä sen sisältöä.
>
>Transaktiot ja siinä tapahtuvat kyselyt ovat erikseen. Se ei
>varsinaisesti ole vielä kysely-yhteys, jos sinä kysyt pankin tai
>vakuutusyhtiön asiakaspalvelusta jotain.
Kysely-yhteydellä tarkoitan tässä tietenkin asiakkaan ja pankin
tai vastaavan välistä viestiyhteyttä. Minä kysyn ja pankki vastaa.
En lainkaan muistanut, että se tarkoittaa muutakin.
>Pelkkää jokapäiväistä ihmisten välistä viestiliikennettä on
>turha alkaa liiaksi vaikeuttamaan.
Pankin ja asiakkaan välisen yhteyden on oltava turvallinen!
Onneksi sinä et ole päättämässä sitä asiaa. :-)
>Sinulle on phisingistä, sosiaalisesta hakkeroinneista sun muista
>huijauksista varoiteltu aiemminkin lähinnä siitä syystä, että
>sinä itse olet niitä tietämättäsi tai tahallasi harjoittanut.
Todennäköisesti tietämättäni. Onko tämä vakuutusjuttu nyt ollut
juuri sellainen? Monet kyselevät tarkempia ja tarkempia tietoja
asiasta. En tiedä miksi mutta aika oudolta tuntuu yhtäkkinen
suuri mielenkiinto minun vakuutuksiani kohtaan.
Timo Pietilä
> In article <f2ueu0$4ge$1...@oravannahka.helsinki.fi>, timo.p...@helsinki.fi says...
>>
>> Matti Kaki wrote:
>>
>>> omaa väkeä joka vastaa kyseiseen sähköpostiin. IFin henkilökunta
>>> luulee, että ulos meneväkin sähköpostiliikenne on suojattua.
>>> Sain nimittäin seuraavanlaisen vastauksen juuri äsken:
>> Miksi ei olisi? Eihän se vaadi kuin pikkuruisen muutoksen lähtevän
>> postin palvelimeen, niin että se vaatii autentikoinnin ja kryptauksen
>> lähettäjän koneen ja smtp-serverin välille, ja sitten StartTLS -
>> suojauksen palvelinten väliin. Tietty sitten vastaanottavan pään
>> tietoturva saattaa olla mitäsattuu, mutta lähtiessään se voi hyvinkin
>> olla suojattu.
>
> Olet oikeassa. Tuli vaan mieleeni, että olisiko peräti niin
> onnettomasti, että IFin ATK-osastokin on erehtynyt tuossa
> suhteessa. Luulevat mahdollisesti, että maili oikeasti on
> suojattua. Se nimittäin selittäisi sen, että henkilökunnalla
> on edelleenkin käsitys suojatusta sähköpostista.
Tai sitten heidän sähköpostinsa todella on suojattua.
Timo Pietilä
Matti Kaki
Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
Pasi Pikkupeura
> Pankin ja asiakkaan välisen yhteyden on oltava turvallinen!
Käytännössä se sitä myös on.
Itse voit toki vaikuttaa sähköpostiliikenteesi turvallisuuteen
siellä vastaanottopäässä, mutta niistä asioista minä en tarpeeksi
tiedä, jotta voisin ketään neuvoa.
Sen tiedän, että meiltä lähtee postit autentikoivalle palvelimelle
ja ssl-salattuna, mutta mitään hajua minulla ei ole siitä, mitä
vastaanottaja posteillensa tekee. Enkä siihen oikein voi edes
vaikuttaakaan. Kait.
> Onneksi sinä et ole päättämässä sitä asiaa. :-)
Onneksi ei tarvitse, sillä uskon, että suhteellisuuden taju toimii
muillakin.
Edelleen on todennäköisempää, että tietojasi vuotaa ulos jotain
muuta kautta. Virkailija esimerkiksi naureskelee kavereillensa
tapauksestasi perjantaina töiden jälkeen lähipubin nurkkapöydässä.
> Todennäköisesti tietämättäni. Onko tämä vakuutusjuttu nyt ollut
> juuri sellainen?
En tiedä. En ole kovin tarkkaan seurannut, sillä asia vaikuttaa
minusta selvältä joskaan nyt ei miltään maailman vakavimmalta
rikkeeltä. Paremminkin erehdykseltä (ellei tuo sitten ole toimiston
puolelta järjestelmällistä muidenkin asiakkaiden kohdalla).
> Monet kyselevät tarkempia ja tarkempia tietoja
> asiasta. En tiedä miksi mutta aika oudolta tuntuu
Kait siinä vähän maksellaan takaisin... Samaa vikaan on usein
ollut jollain toisellakin... :)
Mutta tuo vakuutuskeskustelu ei minulle kuulu.
Kari Asikainen
>> Tai sitten heidän sähköpostinsa todella on suojattua.
>
> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
Pidätkö omaa postipalvelinta kun tiedät noin varmasti että se lähtevä
posti ei ole suojattua (STARTTLS) - se voi aivan hyvin olla.
Tietysti jos itse haet postisi suojaamattomalla POP tai IMAP yhteydellä
se on sitten sinun ongelmasi.
-ka
Antti Seppänen
> Matti Kaki wrote:
>
>>> Tai sitten heidän sähköpostinsa todella on suojattua.
>>
>> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
>> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
>
> Pidätkö omaa postipalvelinta kun tiedät noin varmasti että se lähtevä
> posti ei ole suojattua (STARTTLS) - se voi aivan hyvin olla.
Tosiaankin se voisi aivan hyvin olla suojattua, mutta suuresti epäilen.
Ainakaan saunalahden palvelimet eivät starttls:ää tue. Sinnehän Matinkin
@sci.fi-postit menevät. Kyseiset postipalvaimet sanovat starttls:stä
502 5.5.2 Error: command not recognized
Sitäkin tosin vahvasti epäilen, että kukaan IF:n ja Saunalahden palvelimien
välillä matkalla mitään nuuskisi.
--
Antti Seppänen | PGP public key:
antti (į) hervanta.com | http://www.hervanta.com/~antti
OH3HMI
Jani Markkanen
> In article <f2ugkf$60g$1...@oravannahka.helsinki.fi>, timo.p...@helsinki.fi says...
>>
>>
>>Matti Kaki wrote:
>>> In article <f2ueu0$4ge$1...@oravannahka.helsinki.fi>, timo.p...@helsinki.fi
>>> says...
>>>>
>>>> Matti Kaki wrote:
>>>>
>>>>> omaa väkeä joka vastaa kyseiseen sähköpostiin. IFin henkilökunta
>>>>> luulee, että ulos meneväkin sähköpostiliikenne on suojattua.
>>>>> Sain nimittäin seuraavanlaisen vastauksen juuri äsken:
>>>> Miksi ei olisi? Eihän se vaadi kuin pikkuruisen muutoksen lähtevän
>>>> postin palvelimeen, niin että se vaatii autentikoinnin ja kryptauksen
>>>> lähettäjän koneen ja smtp-serverin välille, ja sitten StartTLS -
>>>> suojauksen palvelinten väliin. Tietty sitten vastaanottavan pään
>>>> tietoturva saattaa olla mitäsattuu, mutta lähtiessään se voi hyvinkin
>>>> olla suojattu.
>>>
>>> Olet oikeassa. Tuli vaan mieleeni, että olisiko peräti niin
>>> onnettomasti, että IFin ATK-osastokin on erehtynyt tuossa
>>> suhteessa. Luulevat mahdollisesti, että maili oikeasti on
>>> suojattua. Se nimittäin selittäisi sen, että henkilökunnalla
>>> on edelleenkin käsitys suojatusta sähköpostista.
>>
>>Tai sitten heidän sähköpostinsa todella on suojattua.
>
> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
IF:iltä salattuna operaattorillesi. Kertoisitko kaikkien alojen ylimpänä
asiantuntijana siihen teknisen syyn.
Djp
--
Mielipiteeni on voinut muuttua, mutta ei se tosiasia että olen oikeassa.
Ari Saastamoinen
> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
Katselin, niin saunalahden postipalvelin ei näytä STARTTLS-komentoa
huolivan, mutta IF:llä tuo näyttää olevan päällä (Ainakin ulkoa
sisäänpäin menevissä posteissa, joten oletettavasti myös
ulosmenevissäkin olisi), joten esim. IF:ltä minulle lähetetty posti
kulkisi koko matkan salattuna.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Matti Kaki
Tuohon kirjoitin sitten seuraavasti:
- - -
Ei todellakaan pidä paikkansa. Tämä sähköposti tuli lukuisten
serverien kautta joissa se kulkee täysin suojaamattomana.
Teidän SISÄINEN sähköpostinne voi olla suojattu, mutta kaikki
mikä memnee ulos IFistä tavallisille sähköpostiosoitteille, on
täysin suojaamatonta ja kenen tahansa sitä haluavan luettavissa.
Olen tehnyt viime vuonna Tietosuojavaltuutetulle tästä IFin
suojaamattomasta sähköpostikirjeenvaihdosta ilmoituksen. Eikö
asiasta ole ollut siellä mitään tiedotustilaisuutta?
Matti Käki
- - -
Vastaus:
- - -
Kyllä olette oikeassa, sain väärää tietoa!
Kysyin asiaa tietoturvapäälliköltämme Pentti Aallolta ja hänen
mukaansa sähköposti ei ole suojattu. Salaamaton viesti ei ole
kenen tahansa luettavissa. Se edellyttää palvelimelle murtautumista
ja lisäksi toiselle osoitetun viestin avaamista, mikä on laitonta.
Ihmisiä, jotka pystyvät murtautumaan postipalvelimille on vähän,
mutta on se mahdollista. Riski on pieni.
Pentti Aalto ei ole kuullut, että Tietosuojavaltuutettu olisi
ollut yhteydessä Ifiin tämän asian tiimoilta.
Pahoittelen väärää informaatiota!
Ystävällisin terveisin
Pxxxxx Lxxxxxxxxx
- - -
Tietosuojavaltuutettu ON ollut yhteydessä IFiin. Siitä minulla
on jopa kirjekin. Ei taida oikein tieto siellä kulkea.
Matti Kaki
En minäkään keksi yhtään syytä siihen, etteikö se voisi lähteä
salattuna IFistä mutta vahvasti epäilen. Eikä saamani tiedon
mukaan edes lähde, joten se siitä. Kopsaan tähän Karin tarinaa
asiasta joka varmaan selventää systeemiä sinulle. Jopa minä
ymmärsin tuon testin. :-)
- - -
Matti Kaki wrote:
> Olen kuluttajaryhmässä pitänyt tavallista sähköpostia hyvin turvattomana
> mutta olen saanut tähän muunkin suuntaisia kommentteja jotka mietityttävät.
> Saamani kommentti on ollut yleensä se, että SMTP olisi itsessään varsin
> turvallinen koska se tukee TLS-salausta. (Threadi: TELIASONERA).
SMTP on itsessään varsin turvaton, minä ainakaan en ole sitä väittänyt
mitenkään erityisen turvalliseksi. Sen päälle on kuitenkin helppo
rakentaa salaus, ja sen toiminnan ymmärtäminen antaa valmiuksia
analysoida aiheeseen liittyviä riskejä. Myös se, että on mahdollista
rakentaa täysin avoin ja turvaton järjestelmä ei tarkoita sitä, että
kaikki sähköpostijärjestelmät olisivat sellaisia.
> serverikurssi tai verkkokurssi jossa keskustelin eri serverien tavasta
> käsitellä viestejä. Sain silloin käsityksen, että TLS on vain serverien
> välinen yhteyssalaus ja on mahdollista, että joissain matkan varrella
> voi olla salaamaton pätkä johon on helppo mennä salakuuntelemaan. Tätä
Olet ymmärtänyt oikein. Postinvälityksessä TLS neuvotellaan nimenomaan
SMTP-sessiossa ja se salaa (mahdollisesti ei-luotetun verkon yli
tapahtuvan) viestinnän. "Salaamaton pätkä johon voi mennä
salakuuntelemaan" on melko epämääräinen heitto - mitä oikein tarkoitat?
Loppujenlopuksihan salaus täytyy jossakin purkaa että sen saa
selväkielisesti esitettyä vastaanottajalle ja aina jossakin voi
"salakuunnella", viimeistään vastaanottajan monitorilla...
SMTP-liikenne julkisessa internetissä ei kulje mitään mystisiä pätkiä
ympäri verkkoa, välitys tehdään nimipalvelun MX-tietueiden perusteella
suoraan vastaanottajalle, ja TLS salaa tämän yhteyden päästä päähän(itse
TCP/IP -yhteys tietysti voi kulkea useankin verkon kautta). Sekä
lähettävän että vastaanottavan organisaation päässä voi sitten olla
millaisia järjestelyjä tahansa (postin ohjaamista eri palvelimille
jne.), mutta tällöin ollaan kontrolloidussa ympäristössä ja järjestelmä
voidaan rakentaa juuri niin turvalliseksi kuin halutaan.
> ei lähettäjä tai vastaanottaja edes saa tietää koska järjestelmä ei
> käsittääkseni herjaa asiasta mitään. Tässä asiassa nuut eivät tunnu
> olevan kanssani aivan samaa mieltä vaan pitävät SMTP:tä turvallisena.
SMTP ei sisällä sisäänrakennettuna minkäänlaista pakotettua
autentikaatiota ja on siten helposti väärennettävissä, eikä sitä ole
alun perin suunniteltu nykyisenlaiseen spammin ja phishingin maailmaan.
Sen päälle on kuitenkin tietyin toimenpitein mahdollista toteuttaa
varsin turvallinen viestintäverkko.
> Mitä mieltä ollaan? Jos TLS olisi riittävä salaus niin ei kai tarvittaisi
> mitään muita salausohjelmia kuten PGP, vaan voitaisiin luottaa ainoastaan
> tuohon yhteen salaukseen.
Ei, TLS on *liikenteen* salaamiseen tarkoitettu, PGP ja S/MIME on
tarkoitettu viestin salaamiseen ja allekirjoittamiseen (todentamiseen).
Kumpaakin tarvitaan.
> Oma mielipiteeni on, että sähköpostin turvaksi tarvitaan huomattavasti
> kovemman luokan salausta kuten PGP tai S/MIME. Niinikään yhä yleistynyt
PGP tai S/MIME ei ole "kovempi" salaus kuin TLS. Ne palvelevat eri
tarkoitusta. Esimerkki: vaikka salaisit sähköpostisi PGP:llä niin TCP/IP
verkossa liikennettä sopivassa solmukohdassa (jota kautta lähettämäsi
sähköposti kolmannelle osapuolelle kulkee) kuuntelemalla selviävät
viestin otsikkotiedot, eli että sinä lähetät viestin henkilölle x
organisaatiossa y, ja viestin salattu sisältö. Sitävastoin jos
palvelimet keskustelevat käyttäen TLS:a, ei ulkopuolinen pysty
vakoilemaan edes tunnistetietoja (muuta kuin että palvelimen x ja y
välillä liikkuu salattua postiliikennettä). Pelkkä TLS taas ei suojaa
viestiä esimerkiksi kohdepalvelimen rikollista ylläpitäjää tai
tietomurtoa tekevää krakkeria vastaan.
Toivottavasti tämä selvensi asiaa,
-ka
- - -
Matti Kaki
>
>
>Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
>> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
>
>Katselin, niin saunalahden postipalvelin ei näytä STARTTLS-komentoa
>huolivan, mutta IF:llä tuo näyttää olevan päällä (Ainakin ulkoa
>sisäänpäin menevissä posteissa, joten oletettavasti myös
>ulosmenevissäkin olisi), joten esim. IF:ltä minulle lähetetty posti
>kulkisi koko matkan salattuna.
Jaa. Entäs tämä saamani maili:
"Kyllä olette oikeassa, sain väärää tietoa!
"Kysyin asiaa tietoturvapäälliköltämme Pentti Aallolta
ja hänen mukaansa sähköposti ei ole suojattu."
- - -
Ehkä nyt kuitenkin IFin oma tyyppi tietää sinua paremmin asian.
Pasi Palo
> Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> Kuten jo kerroin, heidän oma mailinsa voikin olla suojattua.
>> Nyt ei ollut kyse siitä vaan maailmalle lähtevästä mailista.
>
> Katselin, niin saunalahden postipalvelin ei näytä STARTTLS-komentoa
> huolivan, mutta IF:llä tuo näyttää olevan päällä (Ainakin ulkoa
> sisäänpäin menevissä posteissa, joten oletettavasti myös
> ulosmenevissäkin olisi), joten esim. IF:ltä minulle lähetetty posti
> kulkisi koko matkan salattuna.
Pitikin oikein kokeilla mitä tapahtuu kun esim. saunalahden webmailista
lähetän postia omaan ihan vain testikäyttöön viritetylle postipalvelimelle.
Lokiin tulee seuraavaa:
postfix/smtpd[12469]: TLS connection established from
gw01.mail.saunalahti.fi[195.197.172.115]: TLSv1 with cipher
DHE-RSA-AES256-SHA (256/256 bits)
Joten jos sanon että yhteys minun vaatimattoman pikkupalvelimeni ja
saunalahden välillä on suojattu/salattu niin olenko oikeassa?
--
Pasi Palo
Timo Pietilä
> In article <xyy4i.167644$BE2....@reader1.news.saunalahti.fi>, oh2bio...@sci.fi.invalid says...
>> Hei!
>>
>> Kyllä Ifin sähköposti on suojattu eli tämäkin viesti on
>> suojattua sähköpostia.
>>
>> Ystävällisin terveisin
>> Pxxxxx Lxxxxxxxxx
>>
>> - - -
>
> Tuohon kirjoitin sitten seuraavasti:
>
> - - -
>
> Ei todellakaan pidä paikkansa. Tämä sähköposti tuli lukuisten
> serverien kautta joissa se kulkee täysin suojaamattomana.
Mistäs tuon tiedät?
> Teidän SISÄINEN sähköpostinne voi olla suojattu, mutta kaikki
> mikä memnee ulos IFistä tavallisille sähköpostiosoitteille, on
> täysin suojaamatonta ja kenen tahansa sitä haluavan luettavissa.
Paitsi että IF:n palvelin käyttää STARTTLS:ää. Eli ei ole. Ei ainakaan
jos vastaanottavan pään palvelin tuota tukee.
> Olen tehnyt viime vuonna Tietosuojavaltuutetulle tästä IFin
> suojaamattomasta sähköpostikirjeenvaihdosta ilmoituksen. Eikö
> asiasta ole ollut siellä mitään tiedotustilaisuutta?
Jos Saunalahden postipalvelin ei tue StartTLS:ää valita heistä
tietosuojavaltuutetulle.
> Matti Käki
>
> - - -
>
> Vastaus:
>
> - - -
>
> Kyllä olette oikeassa, sain väärää tietoa!
>
> Kysyin asiaa tietoturvapäälliköltämme Pentti Aallolta ja hänen
> mukaansa sähköposti ei ole suojattu. Salaamaton viesti ei ole
> kenen tahansa luettavissa. Se edellyttää palvelimelle murtautumista
> ja lisäksi toiselle osoitetun viestin avaamista, mikä on laitonta.
> Ihmisiä, jotka pystyvät murtautumaan postipalvelimille on vähän,
> mutta on se mahdollista. Riski on pieni.
>
> Pentti Aalto ei ole kuullut, että Tietosuojavaltuutettu olisi
> ollut yhteydessä Ifiin tämän asian tiimoilta.
>
> Pahoittelen väärää informaatiota!
>
> Ystävällisin terveisin
> Pxxxxx Lxxxxxxxxx
>
> - - -
>
> Tietosuojavaltuutettu ON ollut yhteydessä IFiin. Siitä minulla
> on jopa kirjekin. Ei taida oikein tieto siellä kulkea.
Höh. Se että viesti olisi palvelimella selväkielisenä ei ole
minkäänlainen tietoturva-aukko. Tai siis on erittäin pieni sellainen.
Paljon, paljon suurempi riski on se että oma koneesi kaapataan ja
postisi luetaan. Tuo saamasi vastaus ei yhä edelleenkään kerro mitään
siitä miten se viesti välitetään, eli se oletettavasti on suojattu koko
matkan IF:ltä Saunalahdelle ja sieltä sinulle mikäli olet viitsinyt
laittaa suojauksen päälle.
Varmaankaan tietosuojavaltuutettu ei ole ollut IF:in kanssa tuon suhteen
tekemisissä.
Timo Pietilä
Tomi Jaskari
14:48:54 +0300:
> Tietosuojavaltuutettu ON ollut yhteydessä IFiin. Siitä minulla
> on jopa kirjekin. Ei taida oikein tieto siellä kulkea.
Ei se kulje muutenkaan kun ihmiset tekevät lähes kaikkensa saadakseen
viestinnästä hankalampaa (ja salatumpaa).
Ymmärrän että haet parempaa tietoturvaa, mutta en ymmärrä miksi se on näin
tärkeätä.
Viranomaisilla on oma viestiverkkonsa, mutta tuskin sekään on täysin
häirinnältä suojattu.
--
/*. Käytössä Opera 9.20: http://www.opera.com/
O>'O________________________________________________
Homepage: http://www.kolumbus.fi/tomijaskari/
Aleksi Luhtamäki
Sen verran kokemusta pankki- ja vakuutusmaailmasta, että
yleisperiaatteena on, ettei suojaamattomassa sähköpostissa lähetetä
asiakkaan henkilötietoja tai muuta arkaluonoista tietoa sisältäviä
tietoja ilman asiakkaan suostumusta.
Toki - ihmisiä kun on prosessissa - tapahtuu lapsuksia ja poiketaan
jossain tilanteessa perusmallista.
Kuitenkin jos ajatellaan Pankki- ja vakuutusbisnestä ja verrataan sitä
mihin tahansa muuhun bisnekseen (ehkä terveydenhuoltoa
lukuunottamatta), säätelee alaa tiukimmat tietosuojavaatimukset ja on
koko alan etu, että tietoja käsitellään lakien, asetusten ja hyvän
tietosuojatavan mukaisesti.
Se, että asiakas saa tahtomattaan viestin suojaamattoman sähköpostin
kautta ja viestissä on asiakkaan kannalta yksityisiä tietoja ei
suinkaan tarkoita sitä, että koko alan tietoturva on retuperällä. Itse
ainakin saan oman pankkini (3:ssa eri pankissa tilit) ja
vakuutusyhtiöideni (3-eri yhtiötäkin) kanssa tiedot siirrettyä
riittävän suojatulla tavalla - olettaen, että itsekin toimin
vastuullisesti.
Sen enempää "kollegan" (lue kilpailijan) tekniikoista tietämättä,
uskon, että IF:kin on hoitanut tietojen käsittelynsä turvallisesti.
Tosin jos jollain on sisäpiirin tietoa esim. yhtiöltä asiakkaalle e-
mail ratkaisusta olen toki kiinnostunut ( :] ) lukemaan.
Mutta asiakkaalle terveisiä ja jäitä hattuun.
Prosesseja hiotaan jatkuvasti eri yhtiöissä ja rakentava palaute
otetaan aina huomioon. Uhkailulla ja älämölöllä ei yleensä missään
pääse kovin pitkälle.
-axu-
Ari Saastamoinen
> Joten jos sanon että yhteys minun vaatimattoman pikkupalvelimeni ja
> saunalahden välillä on suojattu/salattu niin olenko oikeassa?
Olet, mutta 100%:sesti tuohon ei voi luottaa. Oletettavasti
kumpaakaan palvelinta ei ole konffattu niin, että tuo salaus
vaaditaan, joten mikäli TLS-kättelyssä menee jotain pieleen, niin
sitten toi saattaa tulla myös salaamattomana.
Ari Saastamoinen
> Ehkä nyt kuitenkin IFin oma tyyppi tietää sinua paremmin asian.
Siis yleisesti sähköpostia ei voi pitää varmasti salattuna mediana,
mutta monissa tapauksissa se siltikin kulkee salattuna ihan tuon IF:n
tietoturvatyypin mielipiteestä huolimatta. Varmuuden tuohon saisi jos
joku iffiltä lähettäisi mulle sähköpostia, niin siitä sen näkisi.
Ari Saastamoinen
> En minäkään keksi yhtään syytä siihen, etteikö se voisi lähteä
> salattuna IFistä mutta vahvasti epäilen. Eikä saamani tiedon
> mukaan edes lähde, joten se siitä. Kopsaan tähän Karin tarinaa
Epäilet? Miksi sinun pitää tuon asian suhteen elää epätietoisuudessa?
Käsittääkseni olet IF:ltä saanut emailin ja sen headereista voisit
varmuudella sanoa, että onko ollut salattua vaiko eikö. Miksi vielä
arvuuttelet?
Ari Laitinen
> Tämä kuuluu tietosuojaan. Tietosyuoja on nyky-yhteiskunnassa
> hyvin tärekä ominaisuus. Valitettavasti kaikki ihmiset eivät
> tätä ymmärrä. Minulle oli yllättävää se, että sinä et pidä
> pankin ja/tai vakuutuyhtiön ja asiakkaan välistä yhteydenpitoa
> salauksen arvoisena. Kaltaistesi henkilöiden vuoksi pitää koko
> ajan kehittää tiukempia systeemejä. Uutisissakin kerrottiin,
> että PK-yrityksen suurin tietoturvariksi ovat työntekijät.
Minkään en pidä tätä tietotuojaa oleellisena. Mutta kernaasti
mahdollistaisin vapaan valinnan.
Meillä on ongelmat väärinpäin. Minulle aiheuttaa ongelman se, että pankki
lähettää viestinsä paikkaan, josta en niitä näe. Sinulle on se ongelma että
viestit tulevat sinulle suoraan. Ymmärrän että esim. aviomies ei ehkä halua
että vaimo näkee pankkitietoja sähköpostikoneelta. Voi olla tilanteita,
joissa ei voi luottaa lähimmäisiinsä. Sellaisia varten ehdottamasi
huolellisuus olisi tietenkin enemmän kuin paikallaan.
Ari Laitinen
> Ei todellakaan pidä paikkansa. Tämä sähköposti tuli lukuisten
> serverien kautta joissa se kulkee täysin suojaamattomana.
> Teidän SISÄINEN sähköpostinne voi olla suojattu, mutta kaikki
> mikä memnee ulos IFistä tavallisille sähköpostiosoitteille, on
> täysin suojaamatonta ja kenen tahansa sitä haluavan luettavissa.
Minä haluaisin nyt alkaa lukea sinun postiasi. Kuinka toimin? Olenhan minä
kai kuka tahansa?
Timo Pietilä
> Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> En minäkään keksi yhtään syytä siihen, etteikö se voisi lähteä
>> salattuna IFistä mutta vahvasti epäilen. Eikä saamani tiedon
>> mukaan edes lähde, joten se siitä. Kopsaan tähän Karin tarinaa
>
> Epäilet? Miksi sinun pitää tuon asian suhteen elää epätietoisuudessa?
> Käsittääkseni olet IF:ltä saanut emailin ja sen headereista voisit
> varmuudella sanoa, että onko ollut salattua vaiko eikö. Miksi vielä
> arvuuttelet?
Mikä headeri kertoo tuon salauksen? Mistään en löytänyt mitään
headerivaatimusta STARTTLS:n käyttöön. Se näkyy kyllä postipalvelimen
keskustelussa toisen toisen postipalvelimen kanssa.
Timo Pietilä
Buster
news:5bgsroF...@mid.individual.net...
Received: headerin perästä saattaapi löytyä.
http://www.ietf.org/rfc/rfc2487.txt
--
Buster
Timo Pietilä
Saattaa, mutta ei ole vaatimus. Mitään varmaa ei headereista voi sanoa.
Tai ainakaan en yhdestäkään RFC:stä tuota löytänyt. Pitääkin kysyä
meidän postivastaavilta miten tuo sisäliikenteen postin kulku eri
palvelimien välillä on suojattu. Ovat aika guruja, joten ihmettelen
kovasti jos ei ole starttls tms. käytössä. Jos on ja se ei näy
headereissa niin sitten se ei näy headereissa.
Omien postieni sisäisen liikenteen received headereissa ei kuitenkaan
lue kuin "by ESMTP..." (eli siis ainakin SMTP:n extensionit on käytössä,
mutta muuta ei voi sanoa).
Timo Pietilä
Ari Saastamoinen
> Mikä headeri kertoo tuon salauksen? Mistään en löytänyt mitään
Ainakin sendmail ja postfix (Lienevät kaksi yleisintä) kertoo tuon
tiedon received -headerissa. Muita palvelinsoftia en itse ole
ylläpitänyt, enkä niistä tiedä.
Pekka Pietikainen
>Sitäkin tosin vahvasti epäilen, että kukaan IF:n ja Saunalahden palvelimien
>välillä matkalla mitään nuuskisi.
6000:sta postista n. 1500 oli headereiden mukaan mennyt ainakin
osittain TLS:ää käyttäen.
Paikkoja joista tullut kryptattuna:
"Paikalliset" postit (yllättäen, tämä varmaan selittää suuren osan
tuosta 25%:sta :) )
Erinäisiä yliopistoja
Nokia
eQ
Tapiola
Saunalahden aspa
Area-matkatoimisto
suomi24 -ilmaispostilaatikko
Minäkin kyllä rutisisin jos vastaisivat tommoiseen pankkisysteemipostiin
normisähköpostilla oli sitä kryptoa tai ei (gpg-kryptatut postit erikseen
vaan eipä taida yksikään pankki/vakuutusyhtiö moista käyttää :) ),
ja kun tuo TLS-krypto on opportunistista niin eipä sen olemassaoloon
voi luottaa kuitenkaan kun postia lähettää, se on vaan kiva lisäturva
joka ei vaadi loppukäyttäjältä mitään ylimääräistä (vrt. gpg).
Toisaalta rutisen kyllä siitäkin jos moisen kautta ei voi jotain asiaa
hoitaa vaan pitää jonottaa johonkin 020-asiakaspalvelupuhelimeen
tai konttoriin (mitä jotkut pankit näyttävät harrastavan)
Tai jos yleisluontoiseen normaalisähköpostikysymykseen ei voida
vastata yleisluontoisella normaalisähköpostivastauksella.
Spammifolderissa muuten tilanne 5/8000 ;)
M. Tavasti
> Miksi ei olisi? Eihän se vaadi kuin pikkuruisen muutoksen lähtevän
> postin palvelimeen, niin että se vaatii autentikoinnin ja
> kryptauksen lähettäjän koneen ja smtp-serverin välille, ja sitten
> StartTLS - suojauksen palvelinten väliin. Tietty sitten
> vastaanottavan pään tietoturva saattaa olla mitäsattuu, mutta
> lähtiessään se voi hyvinkin olla suojattu.
Tämä koko thread on mennyt kyllä ihan lillukan varsiin. Jos
halutaan/tarvitaan (yliviivaa tarpeeton) sähköposti, jota eivät
sivulliset pääse lukemaan, pitää viestin sisältö salata. Siirtotien
suojaaminen auttaa sen ettei välillä kukaan nuuski, mutta edelleen
postipalvelimen levyllä se sähköposti on selväkielisenä. Palvelimia
ylläpitävät ihmiset, ja ylläpitäjillä on mahdollisuus niin halutessaan
lukea viestejä. Niin ei toki saisi tehdä, mutta se on mahdollista. Ei
varmaan kovin yleistä, koska ylläpitäjillä on tekemistä aivan tarpeeksi.
Siirtotien salaaminen on hyvä lisä, mutta kokonaisuuden kannalta melko
mitätön osanen. 'Satunnaisia' ihmisiä pääsee ehkä nuuskimaan verkkoa
lähettäjän ja vastaanottajan omassa LAN:ssa jos sielläkään, muualla
nuuskiminen on vain ammattimaisten ylläpitäjien mahdollisuus. Verkosta
nuuskiminen on kuitenkin suhteellisen hankalaa, koska snifferi pitää
olla aktiivisen sähköpostin siirtyessä, ja pitää tietää mitä
halutaan. Koko liikenteen dumppaaminen pidemmältä ajalta levylle ei
ole mahdollista satunnaiselle hairahtaneelle ylläpitäjälle.
--
M. Tavasti / tava...@iki.fi / +358-40-5078254
Poista sähköpostiosoitteesta molemmat x-kirjaimet
Remove x-letters from my e-mail address
Ari Laitinen
> sivulliset pääse lukemaan, pitää viestin sisältö salata. Siirtotien
> suojaaminen auttaa sen ettei välillä kukaan nuuski, mutta edelleen
> postipalvelimen levyllä se sähköposti on selväkielisenä. Palvelimia
> ylläpitävät ihmiset, ja ylläpitäjillä on mahdollisuus niin halutessaan
> lukea viestejä. Niin ei toki saisi tehdä, mutta se on mahdollista.
Tällainen firma https://www.turvaposti.fi/esittely.html pyrkii tarjoamaan
turvallista postia, jota puhelinmyyjä väitti ihan militarytason täyttäväksi.
Tätähän kampanjoidaan toistuvasti yrityksille lähetettävässä "Internet
uutiset" lehdessä. Patentoidun!!! ratkaisun hienoutta en ihan käsitä, mutta
voitte itse kokeilla tämän erittäin kalliin (50e/kk) ratkaisun salauskykyä
lähettämällä salatun viestin firmalle itselleen osoitteesta
https://www.turvaposti.fi/compose.php?recipient=infocenter
Kaikkihan on hienosti... viestit tallennetaan turvapostin palvelimelle
salattuna. Myyjä tosin ei käsittänyt argumenttiani siitä että viesti kyllä
lähetetään salattua yhteyttä pitkin ja kryptataan palvelimelle heti kun se
on sinne saapunut mutta mikään ei estä tätä palvelimen ylläpitäjää (tai
poliisia tai sitä jolla on rahaa maksaa tarpeeksi) lukemasta viestiä. Ei
mennyt jakeluun ei...
Jomppa Koskinen
> "Matti Kaki" kirjoitti:
> > Pankin ja asiakkaan välisen yhteyden on oltava turvallinen!
>
> Käytännössä se sitä myös on.
>
> Itse voit toki vaikuttaa sähköpostiliikenteesi turvallisuuteen
> siellä vastaanottopäässä, mutta niistä asioista minä en tarpeeksi
> tiedä, jotta voisin ketään neuvoa.
>
> Sen tiedän, että meiltä lähtee postit autentikoivalle palvelimelle
> ja ssl-salattuna, mutta mitään hajua minulla ei ole siitä, mitä
> vastaanottaja posteillensa tekee. Enkä siihen oikein voi edes
> vaikuttaakaan. Kait.
Etkä voi tietää, mitä tapahtuu teidän sähköpostipalvelimenne ja
vastaanottajan sähköpostipalvelimen välillä. On aika naiivia väittää
sähköpostia suojatuksi (tai edes turvalliseksi), jos vain ensimmäiset
metrit työpöydältä yrityksen palvelimelle on salattu. Vasta jos
salataan koko viesti lähtöpisteestä vastaanottajalle (siis käyttäen
salattua sähköpostiviestiä, ei pelkkää salattua yhteyttä) voidaan olla
kohtuullisen varmoja, ettei viestiä lue muu kuin vastaanottaja ja
viranomainen (oli se sitten Ruotsin, USA:n tai Venäjän
"turvallisuusviranomainen").
Olen tässä asiassa kyllä samaa mieltä Matin kanssa. Jos kyselyssä
käytetään suojattua yhteytetty asian arkaluontoisuuden tai
yksityisyyden vuoksi, on täysin vastuutonta (ja eräissä tapauksissa
jopa laitonta) vastata asiaan sähköpostilla. Esim. Sampopankki vastaa
sivustoilla tehdyllä kyselyllä saman suojatun sivuston kautta, jolloin
viestin suojaamaton osuus elämästä rajoittuu pankin käyttämälle
palvelimelle ja sen varmuuskopioihin (edellyttäen, ettei varmistusta
ole tehty salattuna).
--
Eteenpäin, oi rokkaavat punajuuret!
Matti Kaki
>Sen enempää "kollegan" (lue kilpailijan) tekniikoista tietämättä,
>uskon, että IF:kin on hoitanut tietojen käsittelynsä turvallisesti.
Näin minäkin uskon, etenkin eilisen IFin konttorissa käynnin
jälkeen. Kysyin, mitä korvausia oikeusturvavakuutuksestani
on maksettu, johon kerrottiin, että konttorit eivät pysty
näkemään tätä tietoa. Sen näkee ainoastaan oikeusturvavakuutuksen
osasto. Myös asiakkaan antamat terveys- ym. tiedot poistuvat
lukuoikeudesta kun asia on siirretty eteenpäin.
Matti Kaki
>
>
>Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> Ehkä nyt kuitenkin IFin oma tyyppi tietää sinua paremmin asian.
>
>Siis yleisesti sähköpostia ei voi pitää varmasti salattuna mediana,
>mutta monissa tapauksissa se siltikin kulkee salattuna ihan tuon IF:n
>tietoturvatyypin mielipiteestä huolimatta. Varmuuden tuohon saisi jos
>joku iffiltä lähettäisi mulle sähköpostia, niin siitä sen näkisi.
Kerro miten, niin voin katsoa juuri saamastani mailista.En kyllä
ainakaan itse löytänyt mitään viitteitä headereista.
Pasi Pikkupeura
> Etkä voi tietää, mitä tapahtuu teidän sähköpostipalvelimenne
> ja vastaanottajan sähköpostipalvelimen välillä.
Blaablaaa... Sanotaan sitten, että siihen en kait voi vaikuttaa,
mitä siellä vastaanottopäässä tapahtuu.
> On aika naiivia väittää sähköpostia suojatuksi, jos vain
> ensimmäiset metrit työpöydältä yrityksen palvelimelle on salattu.
Jos siellä vastaanottopäässä ollaan kovin huolestuneita omasta
tietoturvastaan (kuten ketjun aloituksessa), niin kaitpa siellä
vastaanottopäässä ollaan huolehdittu sitten myös oman palvelimen
tietoturva-asiat kuntoon (olettaisin, että ketjun aloituksessa ei
asiaan ole kiinnitetty ennen tätä ketjua mitään huomiota).
Palveluntarjoajaakin on mahdollista vaihtaa.
Itse viestien salaaminen on sitten erikseen.
> Olen tässä asiassa kyllä samaa mieltä Matin kanssa.
Minä en. Se tästä vielä puuttuisi, että alettaisiin vaatimaan
ihan tavalliseen asiakaspalvelutilanteeseen liittyvien viestien
salaamista pgp-avaimella, jos viestiliikenne tapahtuu sähköpostitse.
Tiedän, että on olemassa mahdollisuus sille, että viestiliikenne
joutuu vääriin käsiin, mutta koska mahdollisuus sille on häviävän
pieni, niin arvostan tällä kertaa käytettävyyttä loppuunsa saakka
viedyn tietoturvan edelle.
Asia olisi eri, jos kyse olisi todella arkaluonteisesta tiedosta,
jolla ei saa olla edes mahdollisuutta joutua vääriin käsiin,
mutta siinä puhutaan jo jostain valtionsalaisuuksista.
> Jos kyselyssä
> käytetään suojattua yhteytetty asian arkaluontoisuuden tai
> yksityisyyden vuoksi, on täysin vastuutonta (ja eräissä
> tapauksissa jopa laitonta) vastata asiaan sähköpostilla.
Se ei ole vastuutonta, vaan se on käytännöllistä, jos mahdollisuus
sähköpostin käyttöön kuitenkin on olemassa.
Erikoistilanteet sitten erikseen. Niihin en siviilissä törmää.
> Esim. Sampopankki vastaa
> sivustoilla tehdyllä kyselyllä saman suojatun sivuston kautta
Aivan kun en tuota tietäisi. Hanurista moinen. Samoin kuin on tuo
uusi Sampopankin käytäntö pyytää uutta turvalukua joka hiivatin
välissä. Ei helpota yhtään ainakaan minun ahdistusta.
...
Oikea ratkaisu olisi perustaa uusi keskinäinen foliohattupankki
ja -vakuutusyhtiö niille, jotka näkevät mörköjä verkon jokaisessa
solmukohdassa.
Matti Kaki
>
>
>Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> En minäkään keksi yhtään syytä siihen, etteikö se voisi lähteä
>> salattuna IFistä mutta vahvasti epäilen. Eikä saamani tiedon
>> mukaan edes lähde, joten se siitä. Kopsaan tähän Karin tarinaa
>
>Epäilet? Miksi sinun pitää tuon asian suhteen elää epätietoisuudessa?
>Käsittääkseni olet IF:ltä saanut emailin ja sen headereista voisit
>varmuudella sanoa, että onko ollut salattua vaiko eikö. Miksi vielä
>arvuuttelet?
No tässä headerit hieman muokattuna. Postifixia siellä esiintyy.
Received: via tmail-2004a-sau for oh2bio.200; Wed, 23 May 2007 08:48:09 +0300 (EEST)
Received: from fe11.mail.saunalahti.fi (fe11.mail.saunalahti.fi [62.***.*.***)
by be31.mail.saunalahti.fi (Postfix) with ESMTP id 886141***E3
for <oh2...@be31.mail.saunalahti.fi>; Wed, 23 May 2007 08:48:09 +0300 (EEST)
Received: from ainavaan.iki.fi (ainavaan.iki.fi [212.**.**.**])
by fe11.mail.saunalahti.fi (Postfix) with ESMTP id 9A*B0029
for <oh2...@sci.fi>; Wed, 23 May 2007 08:48:09 +0300 (EEST)
Received: from mail4.if.fi (ns4.if.fi [193.**.**.**])
by ainavaan.iki.fi (8.13.8/8.13.8) with ESMTP id l4N5mAI***6233
for <MATTI.KAKI (a) IKI.FI>; Wed, 23 May 2007 08:48:10 +0300 (EEST)
Received: from swr10524.europe.ifint.biz (unknown [10.***.***.**])
by mail4.if.fi (Postfix) with ESMTP id 9119****52B
for <MATTI.KAKI (a) IKI.FI>; Wed, 23 May 2007 08:48:34 +0300 (EEST)
Received: from SWR10657.europe.ifint.biz ([10.***.***.**]) by swr124.europe.ifint.biz with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 23 May 2007 08:48:03 +0300
X-MimeOLE: Produced By Microsoft Exchange V6.5
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Subject: [mail] Palaute If-kansiosta
Date: Wed, 23 May 2007 08:48:03 +0300
Message-ID: <5D46D28B792ACF4EAFF90AEDBC76****SWR10657.europe.ifint.biz>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Palaute If-kansiosta
Thread-Index: AceZSjpkLCYzOByyTseYEDtVo3DMjwC4YD***AAABQ8IAAAh9qQ
From: <antti....@if.fi>
To: <MATTI...@IKI.FI>
X-OriginalArrivalTime: 23 May 2007 05:48:03.0152 (UTC) FILETIME=[EDA***00:01C79CFD]
Status:
X-Text-Classification: mail
Bror Heinola
> No tässä headerit hieman muokattuna. Postifixia siellä esiintyy.
Öh, muokkasit julkiset IP:t pois jotka saa selville kuka tahansa, mutta et
sotkenut mailiosoitteita?
Kyllä taas kerran Käenpojalla leikkasi. Antti Suokas kiittänee sinua hänelle
tilaamastasi roskapostista.
Tomi Jaskari
> Kyllä taas kerran Käenpojalla leikkasi. Antti Suokas kiittänee sinua
Tuskin tuolla on roskaan mitään merkitystä: eiköhän joku massaroskaaja
ole jo ole generoinut kaikki mahdolliset etunimi....@if.fi
yhdistelmät.
Tosin olisi sen voinut jättää poiskin. Keskustelun kannalta ei ole kauhean
olennaista kuka ifin asiakaspalvelija oli kyseessä.
Bror Heinola
> Tosin olisi sen voinut jättää poiskin. Keskustelun kannalta ei ole kauhean
> olennaista kuka ifin asiakaspalvelija oli kyseessä.
Aivan totta. Mielestäni tämä oli kuitenkin varsin osuva osoitus siitä,
kuinka kunnioitettu kansankynttilämme innossaan pistää kirveensä kiveen.
Pasi Pikkupeura
> Öh, muokkasit julkiset IP:t pois jotka saa selville kuka tahansa,
> mutta et sotkenut mailiosoitteita?
Tässä on käynyt nyt niin, että Matille selkokielellä esitetyt
verkkotunnukset ovat kuin hepreaa, sillä TEKNISENÄ henkilönä hän
tulkitsee verkko-osoitteita ainoastaan NUMERAALISESSA muodossa
eli 32-bittisinä ip-osoitteina.
Tämä selittänee, miksi myös sähköpostiosoitteet jäivät huomiotta.
Vesa-Matti Sarenius
Opettajana ja opettajankouluttajana vastustan sitä, että hra. Käestä käytetään
opettajasta käytettyä nimitystä. Sellainen halveeraa oikeita kansankynttilöitä!
--
Vesa-Matti Sarenius, M.Sc. * * * * * * * * * * * * * * * * *
mailto:sare...@koivu.oulu.fi * Music seems to help the pain *
Lecturer, mathematics education * R.I.P. Syd, my hero *
University of Oulu, Finland * * * * * * * * * * * * * * * * *
Ari Laitinen
Tulee mieleen ihan norsu posliinikaupassa.
Vesa-Matti Sarenius
Mieluummin mietin kyllä posliinia norsukaupassa :D
Börje Rundqvist
> In article <4652b880$0$15300$9b53...@news.fv.fi>, pasi.pi...@jippii.if.invalid says...
>>
>> "Matti Kaki" kirjoitti:
>>> Laitoin kyselyn salattua yhteyttä pitkin ja haluan vastaukset
>>> myös salattuna.
>> Minäpä en halua. En myöskään tarvitse foliohattua.
>
> Salattu yhteys on pankkien, ja tässä tapauksessa vakuutyhtiön,
> tapa suojata kysely-yhteys. Jos asiaksa haluaa kysyä jotain
> sellaista asiaa, joka on luottamuksellinen, kuten vaikkapa
> oman tilinsä tietoja tai vakuutuksen yksityiskohtia, pitää
> tähän olla mahdollisuus ilman, että keskustelu voi vuotaa
> jonnekin muualle.
> Tämä kuuluu tietosuojaan. Tietosyuoja on nyky-yhteiskunnassa
> hyvin tärekä ominaisuus. Valitettavasti kaikki ihmiset eivät
> tätä ymmärrä. Minulle oli yllättävää se, että sinä et pidä
> pankin ja/tai vakuutuyhtiön ja asiakkaan välistä yhteydenpitoa
> salauksen arvoisena. Kaltaistesi henkilöiden vuoksi pitää koko
> ajan kehittää tiukempia systeemejä. Uutisissakin kerrottiin,
> että PK-yrityksen suurin tietoturvariksi ovat työntekijät.
>
Ifin aikoina minulla ei ollut tuota ongelmaa, kysymykset ja vastaukset
sain suoraan IFin palvelimella omilla tunnareilla. Ei ole mitään
tarvetta sotkea sähköpostia asiaan koska jos pääsee sähköpostiin pääsee
myös Ifin palvelimelle jolla asiat voi hoitaa turvallisesti.
Matti Kaki
Hups. Sorry. Jäi jostain syystä huomiotta. Cancelloin sen ja
täytyy toivoa, että häipyy riittävästi.
Matti Kaki
>
>
>Bror Heinola <co...@iki.fi> kirjoitti Wed, 23 May 2007 16:06:04 +0300:
>
>> Kyllä taas kerran Käenpojalla leikkasi. Antti Suokas kiittänee sinua
>
>Tuskin tuolla on roskaan mitään merkitystä: eiköhän joku massaroskaaja
>ole jo ole generoinut kaikki mahdolliset etunimi....@if.fi
>yhdistelmät.
>Tosin olisi sen voinut jättää poiskin. Keskustelun kannalta ei ole kauhean
>olennaista kuka ifin asiakaspalvelija oli kyseessä.
Kyseessä ei ole "asiakaspalvelija" vaan enemmän tietävä henkilö.
Jukka Kohonen
Noin käy, kun epätekninen henkilö tunkee sormensa teknisiin asioihin.
--
Jukka....@iki.fi
* Älä polje kirjaa kuin sika, vaikka siinä on jokunen vika.
Antti Alhonen
> Jos siellä vastaanottopäässä ollaan kovin huolestuneita omasta
> tietoturvastaan (kuten ketjun aloituksessa), niin kaitpa siellä
> vastaanottopäässä ollaan huolehdittu sitten myös oman palvelimen
> tietoturva-asiat kuntoon (olettaisin, että ketjun aloituksessa ei
> asiaan ole kiinnitetty ennen tätä ketjua mitään huomiota).
> Palveluntarjoajaakin on mahdollista vaihtaa.
Ei sähköpostin siirtoyhteyttä yleensä pyritä salaamaan, sillä
normaalisti salattavat, sähköpostilla lähetettävät asiat
salakirjoitetaan esim. PGP:llä, tai sitten käytetään muuta
kuin sähköpostia. Näin ollen tietoturvallisuutta haluavalta ei
voida odottaa, että hän vaatisi ja vielä saisi palveluntarjoajansa
asentamaan salauksen. Mutta tämänhän sinä taidat tietääkin.
> Minä en.
Käkitrollaatko vain vai onko ihan oikeasti tarvetta käydä
tietoturvallisuuden perusteita läpi? Uskon ettei ole tarvetta.
> Se tästä vielä puuttuisi, että alettaisiin vaatimaan
> ihan tavalliseen asiakaspalvelutilanteeseen liittyvien viestien
> salaamista pgp-avaimella, jos viestiliikenne tapahtuu sähköpostitse.
Tässähän ei ollut kyse siitä, että viestiliikenne tapahtuisi
sähköpostitse. Päin vastoin, se nimenomaan ei tapahtunut
sähköpostitse vaan salatun http-yhteyden kautta.
Vaan nytpä toinen osapuoli päätti itsenäisesti lähetää tietoja
suojaamattomina. Se on lähtökohta. Voidaan sitten ruveta arvioimaan
sitä, onko se hyvä vai huono asia ja siirtyä eteenpäin perusteiden
vääntelystä.
--
Antti Alhonen.
Pasi Pikkupeura
> Käkitrollaatko
En, vaan olen oikeasti sitä mieltä, ettei tietoturvaa ole
mikään pakko joka paikassa kiristää varsinkin jos seurauksena
on se, että asiointi hankaloituu.
> vain vai onko ihan oikeasti tarvetta käydä
> tietoturvallisuuden perusteita läpi?
Käy jos haluat. Tiedostan riskit mielestäni kohtalaisen
hyvin ja niistä huolimatta pidän sähköpostia aivan tarpeeksi
turvallisena väylänä sille, jos kyselen jotain yleisiä
asiakastietoja vakuutusyhtiöltäni tai pankiltani.
Hyväksyn sen, etteivät tietoni ole täydellisen turvassa,
mutta ne ovat tarpeeksi turvassa, jotta nykyn yöni hyvin.
Jos tuota murehtisin, niin yhtä hyvin voisin alkaa
rakentamaan tulavaisuuttani tulevan lottovoiton varaan.
Ja vaikka tiedot minulle maksetuista korvauksista jollekin
satunnaiselle nuuskijalle vuotaisivatkin, niin siitä on vielä
hyvin pitkä matka siihen, että siitä tiedosta olisi sille
nuuskijalle mitään käytännön hyötyä.
> Voidaan sitten ruveta arvioimaan
> sitä, onko se hyvä vai huono asia ja siirtyä eteenpäin
> perusteiden vääntelystä.
En usko, että minulle tarvitsee perusteita kertoa, mutta
edelleen... aivan vapaasti, jos tarvetta siihen tunnet.
Minä olen asiasta vain eri mieltä kuin sinä, Matti tai Jomppa.
Minä ehdotin ratkaisuksi foliohattupankkia, mutta toinen
hyvä mahdollisuus olisi, että asiakas itse saisi päättää, kuinka
vainoharhaiseksi hän haluaa omat tietoturva-asetuksensa säätää.
Esimerkiksi verkkopankin asetuksissa olisi:
[ ] Kyllä, minulle saa lähettää asiakaspalvelun vastaukset
sähköpostitse
[ ] Ei, en halua, että turvalukuja kysytään kirjautumisen
yhteydessä
Ari Laitinen
> Esimerkiksi verkkopankin asetuksissa olisi:
>
> [ ] Kyllä, minulle saa lähettää asiakaspalvelun vastaukset
> sähköpostitse
>
> [ ] Ei, en halua, että turvalukuja kysytään kirjautumisen
> yhteydessä
Näin juuri... ehkä tuo jälkimmäinen voisi vaatia lisävarmistuksen jossa
pitää vastata väärinpäin.
> [ ] Ei, en halua, että turvalukuja ei kysytä kirjautumisen yhteydessä
Antti Alhonen
> "Antti Alhonen" kirjoitti:
>
>> Käkitrollaatko
>
>
> En, vaan olen oikeasti sitä mieltä, ettei tietoturvaa ole
> mikään pakko joka paikassa kiristää varsinkin jos seurauksena
> on se, että asiointi hankaloituu.
OK. Puhutaan sitten siitä. Äsken höpisit jotain että JooOoO on
se sähköposti suojattua ja että Käen tehtävä olisi painostaa
Saunalahtea asentamaan jotain normaalista käytännöstä poikkeavia
suojauksia, ikään kuin se olisi sähköpostin suojaukseen oleellisesti
liittyvä seikka.
Siitä voin yllättäen olla jopa samaakin mieltä, että tietoturvaa ei
tarvitse tiukentaa. Siitähän en sanonut vielä mitään. Kehotin
vain pysymään asiassa ja selvensin, mikä on suojattu yhteys ja mikä
ei.
--
Antti Alhonen.
Matti Kaki
>Minä ehdotin ratkaisuksi foliohattupankkia, mutta toinen
>hyvä mahdollisuus olisi, että asiakas itse saisi päättää, kuinka
>vainoharhaiseksi hän haluaa omat tietoturva-asetuksensa säätää.
>
>Esimerkiksi verkkopankin asetuksissa olisi:
>
>[ ] Kyllä, minulle saa lähettää asiakaspalvelun vastaukset
>sähköpostitse
>
>[ ] Ei, en halua, että turvalukuja kysytään kirjautumisen
>yhteydessä
Noita ei asiakas voi valita koska ne ovat palvelun tarjoajan itsensä
vaatimia asioita. Pankki on määritellyt, että ne hiivatin turvaluvut
on vaan annettava eikä siihen asiakas voi mitään vastaan sanoa.
Vakuutusyhtiö niinikään käy asiakkaan kanssa keskustelua vain
salatun yhteyden kautta vahvan kirjautumisen jälkeen. Puhelimessa
eivät välttämättä anna kyseisiä tietoja eivätkä edes konttorit
niitä pysty antamaan joitain yleistietoja lukuunottamatta.
Asia on etenemässä ja saanee ainakin jonkin verran huomiota
ihan lähitulevaisuudessa.
samuli....@googlemail.com
> Vakuutusyhtiö niinikään käy asiakkaan kanssa keskustelua vain
> salatun yhteyden kautta vahvan kirjautumisen jälkeen. Puhelimessa
> eivät välttämättä anna kyseisiä tietoja eivätkä edes konttorit
> niitä pysty antamaan joitain yleistietoja lukuunottamatta.
Tätä kyllä epäilen, koska se tarkoittaisi sitä, ettei vakuutusyhtiöön
voisi internetitön ihminen ottaa yhteyttä tai ainakaan selvittää
samoja asioita kuin sellainen, jolla nettiyhteys on. Miten vakuutusta
otettaessa henkilön henkilöllisyys todistetaan? Jos esim.
henkilöllisyystodistuksella konttorissa, miksei täsmälleen samaa
keinoa voisi käyttää saman henkilön asioidessa siellä samassa
konttorissa?
Samuli Saarelma
Aleksi Luhtamäki
<samuli.saare...@googlemail.com> wrote:
> On 25 May, 08:49, Matti Kaki <oh2bioPOI...@sci.fi.invalid> wrote:
>
> > Vakuutusyhtiö niinikään käy asiakkaan kanssa keskustelua vain
> > salatun yhteyden kautta vahvan kirjautumisen jälkeen. Puhelimessa
> > eivät välttämättä anna kyseisiä tietoja eivätkä edes konttorit
> > niitä pysty antamaan joitain yleistietoja lukuunottamatta.
>
> Tätä kyllä epäilen, koska se tarkoittaisi sitä, ettei vakuutusyhtiöön
> voisi internetitön ihminen ottaa yhteyttä tai ainakaan se
> otettaessa henkilön henkilöllisyys todistetaan? Jos esim.
> henkilöllisyystodistuksella konttorissa, miksei täsmälleen samaa
> keinoa voisi käyttää saman henkilön asioidessa siellä samassa
> konttorissa?
>
> Samuli Saarelma
Komppaan tässä edellistä kirjoittajaa...
Puhelimen ymmärrän, sillä siinä henkilön vahva tunnistaminen on ilman
erillisiä teknisiä ratkaisuja vaikeaa, mutta konttorissa person to
person tilanteessa voidaan tehdä vahva tunnistus (jopa vahvempi kuin
verkossa) ja näin asiakaspalvelijan valtuuksista riippuen palvella
asiakasta aivan kuten verkossakin.
Ja ihmettelenpä sitä vakuutusyhtiötä joka rampauttaa asiakaspalvelunsa
rajaamalla asiakaspalvelijan käyttöoikeuksia tai -valtuuksia siten,
ettei asiakasta voida palvella kunnolla.
Ainakin ne vakuutusyhtiöt joista mulla on ns. syvällisempää kokemusta
palvelevat varsin näppärästi niin puhelimessa kuin konttorillakin.
Verkoissa ja verkkoviestinnässä useimmilla on samankaltaisia
ratkaisuja jotka perustuvat käyttäjän vahvaan tunnistamiseen (tunnus,
salasana, avainkortti / token) tai luotetun tahon tekemään
tunnistukseen ja käyttäjätietojen federointiin (vero.fi jne...
ratkaisut). Tunnistuksen jälkeen viestit kulkevat palveluntuottajan
(pankki, vakuutusyhtiö..) " ja asiakkaan välillä suojattuina.
Muitakin tapoja on, mutta en ole nähnyt niitä käytännössä.
Viestintä kaipaa edelleen arkkitehtuuria, jossa tieto siirtyisi
asiakkaan ja yrityksen välillä tietoturvallisesti ilman clienttejä,
plugineita tai erillisiä sovelluksia johon kirjaudutaan.
Aleksi