Kuka suunnittelee ja valvoo digitaalisia alustojamme? Onko sillä väliä?

henttonen

“Jos käytät suljettua ohjelmistoa tai jonkun muun verkkopalvelinta, olet puolustuskyvytön. Olet kuin savea sen muotoilijan käsissä, joka kehitti kyseisen ohjelmiston”

Näin väitti Free Software -liikkeen perustaja Richard Stallman provokatiivisesti. Tunnetko itsesi “puolustuskyvyttömäksi”? Toivottavasti et sentään, mutta joskus kannattaa pohtia, miten tieto- ja viestintätekniikka muovaa elämäämme ja yhteiskuntaamme.

Harvat kieltävät, että digitaalisilla alustoilla on merkittävä ja alati lisääntyvä vaikutus henkilökohtaiseen elämäämme, liiketoimintaamme ja hallintoomme. Algoritmit määrittelevät tarinat, jotka luemme Facebookissa, hakutulokset, jotka näemme Googlessa ja jopa kumppanit, jotka löydämme Tinderistä. Sadat tuhannet kokopäivätyöntekijät Uber- kuljettajista Handy-siivoojiin noudattavat työssään algoritmin laatimia komentoja, jotka toimitetaan heidän matkapuhelimiinsa.

Yhä useammat julkisen sektorin päätökset tehdään digitaalisilla alustoilla, jotka käsittelevät suuria tietomääriä algoritmisesti. Kuten olet ehkä lukenut, oikeuslaitos ei ole poikkeus: New Jersey on äskettäin korvannut takuuvapaushakemuksia käsittelevät ihmiset  ja kuulemiset tietokoneohjelmalla, joka matematiikkaa ja datatiedettä höydyntämällä ennustaa onko henkilö vapautuessaan riski yhteiskunnalle.

Kun digitalisaatio kiihtyy, monet ihmiset ovat alkaneet kysellä, kuka suunnittelee ja valvoo digitaalisia teknologioita. Ruohonjuuritason liikkeet (esimerkiksi Platform Co-operativism, Internet of Ownership ja Commons Transition) ovat alkaneet vaatia avoimempia ja demokraattisemmin hallittuja digitaalisia alustoja. Ne ovat myös inspiroineet satoja avoimia alustaosuuskuntia kuten FairMondo, Loomio ja Open Food Network.

Ilmiö näyttää muistuttavan vapaiden ja avoimen lähdekoodin ohjelmistojen alkuaikoja. Tuolloin ihmiset vaativat enemmän vaikutusmahdollisuuksia siihen miten ohjelmistot suunnitellaan.  Monet aloittivat pieniä ohjelmistohankkeita, jotka perustuivat läpinäkyvyydelle ja avoimelle yhteistyölle (esim. GNU-käyttöjärjestelmä, josta tuli myöhemmin Linux). Suhteellisen lyhyessä ajassa marginaalisesta tuli valtavirtaa. Suuret ohjelmistoyritykset, kuten IBM ja Sun Microsystems, siirtyivät avoimen lähdekoodin liiketoimintamalleihin.

Nykyään avoimen lähdekoodin ohjelmistot ovat hyvin yleisiä, enimmäkseen ristiriidattomia ​​ja siten näkymättömiä. Mutta mitä tapahtuu ”vaihtoehtoisille” digitaalisille alustoille, joiden taustalla kuuluu samanlaisia ​​vaatimuksia avoimuudesta ja käyttäjien omistajuudesta? Ovatko ne seuraava valtavirta?

 

VTT Katja Henttonen

Katja Henttonen, digitalisaatioasiantuntija
Twitter: @KatjaHenttonen

Päivi Jaring VTT

Päivi Jaring, erikoistutkija
Twitter:
@PaiviJaring

 

Lue lisää:

Tähän aiheeseen liittyvää tutkimusta on käynnissä Accelerate-projektissa.

Simonite, T. (2015) . “When Your Boss Is an Uber Algorithm.” MIT Technology Review December.

Computer says no: New Jersey is using an algorithm to make bail recommendations.

Who designs and controls our digital platforms? Does it matter?

henttonen

“If you use a proprietary [software] program or somebody else’s web server, you’re defenceless. You’re putty in the hands of whoever developed that software”

So claimed Richard Stallman, the founder of the Free Software movement, quite provocatively. Do you feel “defenceless”? Hopefully not, but sometimes it is worth considering how ICTs  shape our lives and society.

Few would deny that digital platforms have huge and increasing control of our personal lives, business and governance. The algorithms determine the stories we read on Facebook, the search results we see on Google and even partners we find on Tinder. Hundreds of thousands of full-time labourers, from Uber drivers to Handy cleaners, follow supervisory  commands which are delivered to their mobile phones by an algorithm.

Increasingly many decisions on the public sector are also made by digital platforms which process big data algorithmically. As you may have read, judiciary is not an exception: New Jersey recently replaced a human-led bail system with new software which uses maths and data science to predict whether or not a person is a risk to the society if released.

As digitalization accelerates,  many  people have started to ask questions on who designs and controls the platform technologies. Grassroots movements such as Platform Co-operativism, Internet of Ownership and Commons Transition are pushing demands for more open and democratically governed digital platforms. They have also inspired hundreds of “open” platform co-operatives, such as FairMondo, Loomio and Open Food Network.

The phenomenon seems to resemble the early days of the Free Software and Open Source software movements. People demanded more control over how software is designed. Many started small software projects, which based on the ideas of transparency and open collaboration (e.g. GNU operating system which later turned Linux). Within relatively short timeframe, the marginal idea went mainstream. Large software companies, such as IBM and Sun Microsystems, shifted to open source -based business models.

Today, open source software is very commonplace, mostly uncontroversial and consequently unvisible. But what happens to alternative digital platforms that echo similar demands of ‘openness’ and control by users? Are they the next mainstream?

 

VTT Katja Henttonen

Katja Henttonen, Digitalization Specialist
Twitter: @KatjaHenttonen

Päivi Jaring VTT

Päivi Jaring, Senior Scientist
Twitter:
@PaiviJaring

 

 

See more:

Ongoing research on this topic in the Accelerate project.

Simonite, T. (2015) . “When Your Boss Is an Uber Algorithm.” MIT Technology Review December.

Computer says no: New Jersey is using an algorithm to make bail recommendations.

Miten Shodania käytetään?

shodan1

Shodanin hakukoneen peruskäyttö on ilmaista. Tunnusten luominen palveluun kannattaa, sillä kirjautumatta on mahdollista tehdä vain yksinkertaisia perushakuja. Kirjautunut käyttäjä voi tehdä monipuolisempia hakuja käyttäen eri hakusuodattimia. Liittymällä Shodanin rekisteröityneeksi jäseneksi saa pienellä kertamaksulla lisää ominaisuuksia käyttöönsä, kuten mm. karttahaun, laajemmat hakutulokset sekä komentorivikäytön. Shodan myy myös eri tasoisia kuukausihinnoiteltuja palveluja, joita tarvitaan mm. erittäin laajojen ja toistuvien hakujen yhteydessä. Useat yritykset ovat myös rakentaneet omia palveluita Shodanin tarjoaman tietokannan päälle.

Shodania käytetään samalla tavalla web-käyttöliittymän kautta kuin muitakin yleisimpiä hakukoneita. Poikkeuksena yleiskäyttöisiin hakukoneisiin on hakua laativan käyttäjän tiedettävä tarkemmin mitä hän on etsimässä. Esimerkiksi etsittäessä tietyn tyyppistä laitetta on kyselyä laadittaessa tiedettävä, mitä etsitty laite vastaa eli millaisen bannerin se palauttaa yhteyttä otettaessa. Pelkät yksittäiset hakusanat ilman asiayhteyttä eivät ole yleensä kovin hyviä hakuja, vaan Shodanin tehokkaassa käytössä kannattaa käyttää hakusuodattimia, joilla hakualuetta rajataan.

Seuraavissa esimerkeissä käydään läpi muutamien hakusuodattimien käyttöä. Esimerkeissä käytetty yrityksen IP-osoiteavaruus ei ole käytössä julkisessa verkossa. Oikeita hakuja tehtäessä pitää käyttää vain sellaisia osoiteavaruuksia, joita käyttäjällä on lupa tutkia.

Hakusuodattimen rakenne on sama kuin mitä käytetään yleiskäyttöisissä hakukoneissa eli

hakusuodatin:arvo

Rakenteesta kannattaa erityisesti huomata, ettei kaksoispisteen ympärillä ole välilyöntejä.

Yritys voi hakea omassa käytössä olevasta IP-osoiteavaruudesta Shodanin hakutietokannassa olevia palveluita hakusuodattimella

net:

käyttäen joko yksittäistä osoitetta

net:192.168.1.1

tai CIDR-muodossa ilmoitettua osoitealuettaan

net:192.168.0.0/24

Osoiteavaruuden kuvaamiseen käytetystä CIDR-muodosta löytyy lisää tietoa esimerkiksi täältä.

Mikäli etsitään vain jotain tiettyä avointa porttia ja sen tarjoamaa verkkopalvelua käytetään hakusuodatinta

port:

Jos haetaan esimerkiksi SSH:ta eli salatun terminaaliyhteyden tarjoavaa palvelua haku olisi

port:22

Kun haut yhdistetään yhdeksi lausekkeeksi, saadaan hakutulokseksi vain yrityksen omalla osoitealueella olevat SSH-palvelut

net:192.168.0.0/24 port:22

Hakusuodattimet voidaan kohdistaa myös laitteen vastaukseen eli banneriin. Hakusuodattimella

product:

voidaan hakea tuotteita ja ohjelmistoja. Jos esimerkiksi haetaan avoimen lähdekoodin OpenSSH ohjelmistoa on haku muotoa

product:openssh

Myös negaatiota voidaan käyttää hauissa, miinusmerkkiä käyttämällä voi rajata tuloksista pois haluamiaan osioita. Esimerkiksi hakulauseke

net:192.168.0.0/24 -port:22 product:openssh

palauttaa kaikki kyseisessä osoiteavaruudessa olevat ei-vakioportissa (muu kuin portti 22) olevat avoimet OpenSSH palvelut. Kyseisellä haulla voidaan myös osoittaa tehottomaksi yritykset piilottaa tarjotut verkkopalvelut sijoittamalla ne johonkin muuhun kuin vakioporttiinsa.

Shodan analysoi ja luokittelee hakemaansa tietoa. Kirjautuneen käyttäjän on mahdollistaa kysyä haulla, mitkä laitteet Shodan on tulkinnut Industrial Control System (ICS) eli teollisuusautomaation laitteiksi kyseisessä osoiteavaruudessa:

net:192.168.0.0/24 category:ics

Rekisteröityneelle eli jäsenmaksun maksaneelle käyttäjälle Shodan palauttaa laajasti tietoja löytyneistä palveluista sekä niiden versioista. Muita hyviä vinkkejä hakusuodattimiin löytyy hakukonesivuston suosituimpien hakujen osiosta sekä Shodanin kehittäjän John Matherlyn kirjoittamasta kirjasta ”Complete Guide to Shodan”.

Shodania ja muita hakukoneita käytettäessä pitää aina muistaa, että palvelun tekemien indeksoitujen skannausten selaaminen on sallittua toimintaa, mutta jo yksi hakutuloksen klikkaus voi muuttaa toiminnan laittomaksi. Jos esimerkiksi hakutuloksista paljastuneeseen web-kameraan kirjaudutaan oletussalasanalla ja käyttäjätunnuksella luvatta on kyse laittomasta toiminnasta. Myös hakutulosten muunlainen luvaton hyödyntäminen on useimmiten laitonta.

 

Juha Pärssinen, erikoistutkija

Sami Noponen, tutkija

Tämä kirjoitus on tehty osana EU FP7 rahoitteista ECOSSIAN-hanketta.

Hakukoneet ja tietoturva

Binary handprint

Miten yritys voi itse selvittää mitä sen järjestelmistä on näkyvillä julkisessa tietoverkossa? Entä miten yleiskäyttöiset ja erikoistuneet hakukoneet toimivat ja miten ne eroavat toisistaan?

Perusohjeet yrityksen suojautumiselle tietoverkossa voidaan tiivistää muutamaan lauseeseen:

  • vaihda kaikkien järjestelmien oletussalasanat
  • varmuuskopioi ja päivitä kaikki järjestelmäsi säännöllisesti
  • käytä salattuja yhteyksiä sekä monitoroi ja suodata liikennettä mahdollisuuksien mukaan
  • salli pääsy sisäverkon ulkopuolelta vain niihin järjestelmiisi joihin se on ehdottoman välttämätöntä.

Viimeisen ohjeen merkitystä suojautumisessa ei voi ylikorostaa. Erilaiset hakukoneet keräävät jatkuvasti tietoa verkossa olevista sivustoista ja palveluista. Niiden tarjoamilla palveluilla kuka tahansa, mukaan lukien verkkorikolliset, voivat helposti löytää kaiken verkossa vapaasti olevan tiedon ja käyttää sitä omaksi hyödykseen. On huolestuttavaa että useissa sekä maailmalla että Suomessa tehdyissä selvityksissä löydetään jatkuvasti mm. runsaasti suojaamattomia verkossa olevia automaatiolaitteita (ks. esim. Viestintävirasto).

Omien tietoverkossa näkyvien järjestelmien tutkiminen on sallittua, samoin kuin hakukoneiden tekemien tulosten selaaminen. Pitää kuitenkin aina muistaa, että muiden omistuksessa olevien järjestelmien tarkempi analysointi on yleensä laitonta. Jos esimerkiksi hakutuloksista paljastuneeseen web-kameraan kirjaudutaan oletussalasanalla ja käyttäjätunnuksella luvatta, on kyse laittomasta toiminnasta.

Kun haetaan tietoa verkossa olevista järjestelmistä, on tärkeää ymmärtää, miten erityyppiset hakukoneet keräävät tietonsa ja mitä ne tallettavat tietokantaansa. Yleiskäyttöisen hakukoneen, kuten esimerkiksi Googlen, indeksointirobotit etsivät ja analysoivat taukoamatta julkisesti saatavilla olevia verkkosivuja. Indeksointirobotit aloittavat etsinnän edellisessä indeksoinnissa kerätystä luotettavaksi arvioidusta verkko-osoiteluettelosta. Robotit etsivät verkkosivuilta linkkejä uusille sivuille sekä tutkivat sivustoille tehtyjä muutoksia. Robotit seuraavat löytämiään linkkejä ja vierailevat uusilla sivustoilla.

Sivustojen luotettavuus analysoidaan sekä niiden tarjoaman sisällön, että niille tulevien linkkien määrän perusteella. Kerätyt tiedot talletetaan Googlen valtavaan hakemistoon, jonka koko on Googlen oman ilmoituksen mukaan yli 100 miljoonaa gigatavua. Googlen hakualgoritmi analysoi käyttäjän tekemän kyselyn käyttäen yli 200 eri signaalia löytääkseen parhaiten hakuun sopivat vastaukset hakemistosta. Lisätietoa Googlen toiminnasta löytyy esimerkiksi Googlen sivulta.

Toisin kuin yleiskäyttöiset hakukoneet, erikoistuneet hakukoneet keskittyvät johonkin tiettyyn aihepiiriin. Yksi tunnetuimmista erikoistuneista hakukoneista on Shodan. Shodan kerää tietoa julkiseen internetiin kytkeytyneistä laitteista, olivat ne sitten verkkosivustoja tarjoavia uutispalvelimia, teollisuusautomaatiojärjestelmiä tai leivänpaahtimia.

Shodanin omat indeksointirobotit hakevat ja päivittävät jatkuvasti Shodanin tietokantaa internettiin kytketyistä laitteista. Shodanin indeksointirobottien algoritmi poikkeaa kuitenkin huomattavasti yleiskäyttöisten hakukoneiden robottien käyttämästä: se perustuu satunnaisuuteen. Ensin arvotaan satunnainen verkko-osoite (IPv4 tai IPv6) ja sen jälkeen valitaan satunnainen porttinumero siitä joukosta, jotka Shodan osaa käsitellä. Tämän jälkeen indeksointirobotti ottaa yhteyttä valitulla verkko-osoitteen ja portinnumeron yhdistelmällä. Jos laite löytyy eli vastaa kyselyyn, sen tuottama vastaus (banneri) ja muut yhteyteen liittyvät tiedot analysoidaan ja tulokset talletetaan Shodanin tietokantaan. Tietokantaan tallennutettuihin tietoihin, kuuluu mm. maantieteellinen sijainti, laitteen verkkonimi ja käyttöjärjestelmä sekä versio.

Blogikirjoituksen seuraavassa osassa käydään tarkemmin läpi Shodan-hakukoneen käyttöä.

Lisätietoa Shodanin toiminnasta löytyy Shodanin kehittäjän John Matherlyn kirjoittamasta kirjasta ”Complete Guide to Shodan”.

 

Juha Pärssinen, erikoistutkija

Sami Noponen, tutkija

Tämä kirjoitus on tehty osana EU FP7 -rahoitteista ECOSSIAN-hanketta.

The circular economy is a rough diamond with huge potential

Maria Antikainen VTT

The circular economy is a huge, rough diamond. It offers Finland an opportunity for economic growth and employment. We can switch to the circular economy via a series of innovation leaps. The key issue is a change in paradigm; doing things in an entirely new way rather than more efficiently.

The circular economy is a team game in which goals cannot be scored by going solo

A functioning circular economy is a complex and multi-dimensional system. The idea is to close the circle, but at ecosystem level rather than that of a single player. The circular economy is like a team game, where everyone has a certain role and the players need a keen eye for the game and great timing. This requires broad know-how and holistic management.

Examining systematic, holistic solutions helps us to see the wood for the trees. Circular economy solutions are complex wholes; goals are scored by the team, not individual players. On the other hand, if a player doesn’t hold up her end, this has an impact on the entire team’s performance. The forecasting, simulation and piloting of systematic impacts are important tools for understanding and visualising the consequences of solutions in the circular economy. Life cycle assessment is a good tool for evaluating environmental impacts. When analysing the impacts of solutions, the evaluation perspective must be broad and long, in order to identify solutions that are central in terms of their actual impact.

VTT offers expertise in various aspects of the circular economy diamond

In our publication, Policy Brief, we aim to serve companies and decision-makers by presenting the views, on the circular economy, of experts from a range of sectors. We understand that every circular economy solution has its own special characteristics and that various needs for change are highlighted. At VTT, we have presented the five issues that we consider to be central; these can be expressed in the form of questions:

  • To what extent are new technology solutions needed?
  • Do we need new business models?
  • What kind of change is needed in society’s structures?
  • What kind of collaboration development, or new partners, are needed?
  • To what extent is a breakthrough solution dependent on a certain mindset and behaviour?

circular economy en

The five examples of the circular economy we present in VTT’s Policy Brief illustrate how different perspectives are highlighted, how multi-disciplinary skills are needed to promote them, and what kinds of economic opportunities they open up. With the help of inspiring, concrete examples, we want to spur Finnish companies on to think about their own strengths and challenges with regard to circular economy solutions and to take bold steps towards the circular economy. VTT provides a wide range of expertise in all areas. We can build new circular economy solutions together with our customers.

Maria Antikainen, Senior Scientist
Twitter: @MariaAntikainen

Senior Scientist Maija Federley; Senior Principal Scientist Juha Honkatukia; Senior Scientist Päivi Kivikytö-Reponen; Research Team Leader Johanna Kohl; Senior Scientist Jutta Laine-Ylijoki; Principal Scientist Raija Lantto; Principal Scientist Tiina Pajula; Research Team Leader Anu Seisto