Sitä saa mitä tilaa – jos Google sallii

Mediatoistimen vika paljasti järjestelmien häiriöalttiuden

Kaikki oli valmiina viikonlopun sohvakotoilua varten: villasukat jalassa, popparit kulhossa, tunnelma katossa. Seuraavat tunnit voisin kohottaa kuntoa sarjamaratonin jalossa lajissa. Juuri kun olin pääsemässä alkuun, Chromecastin asuun sonnustautunut kohtalo puuttui peliin. Kuvavirran sijaan ruudulle lävähti apea ilmoitus epäluotettavasta laitteesta. Minä kyllä luotin siihen – mötikkä puolestaan ilmeisesti ei enää luottanut edes itseensä.

Nopea haku verkosta paljasti, että en ollut ongelmani kanssa yksin. Miljoonat muutkin olivat saaneet todeta, että Chromecast-laitteet olivat lakanneet toimimasta. Nyt käyttökatko on jatkunut useita päiviä, ja se liittyy laitteen todentamiseen. Näin pitkä toimintahäiriö ja Googlen hiljaisuus asiasta on poikkeuksellista.

Vika on pieni, mutta ikävä kyllä se on päässä

Teknisesti ongelma on pieni. Se johtuu ilmeisesti rauenneesta varmenteesta, jonka käyttöiän Google on alun perin asettanut 10 vuoden mittaiseksi. Laajemmin ajateltuna tämä on merkki suuremmasta ongelmasta: IoT-laitteiden teknisestä ja yhteiskunnallisesta haavoittuvuudesta. Vaikka kyseessä on yksittäinen sertifikaattivika, se herättää kysymyksiä koko internetiin kytketyn laite-ekosysteemin haavoittuvuudesta, elinkaaresta ja omistajuudesta.

IoT-laitteet ovat usein yksinkertaisia kuluttajatuotteita, mutta niiden toiminta on riippuvainen monimutkaisista pilvipalveluista, autentikointijärjestelmistä ja ohjelmistopäivityksistä. Yksittäinen virhe näissä taustakerroksissa voi estää laitteen toiminnan kokonaan. Palvelut eivät toimi ilman jatkuvaa yhteyttä emoyhtiön palvelimiin. Omistajuus muuttuu ehdolliseksi: laite ei ole käyttäjän hallinnassa vaan valmistajan hyväntahdon varassa.

Kohtalo päätetään pilven reunalla

Perinteisesti laitteet kuluivat fyysisesti loppuun. Nyt ne voidaan ”terminoida” etänä, kun valmistaja katsoo sen sopivaksi. Kun laite vaatii jatkuvaa varmenneketjua, DRM-tukea ja pilvihakemistoja toimiakseen, sen elinkaari voi katketa ilman ennakkovaroitusta. Chromecasteissa ilmennyt ongelma ei ole vain tekninen vaan periaatteellinen: se tuo esiin kuluttajan rajatun vallan oman laitteensa suhteen.

Piilevät tietoturvariskit

IoT-laitteet ovat tunnettuja heikosta tietoturvastaan. Vaikka Chromecast ei ole ensimmäinen laite, jolla tällaisia ongelmia esiintyy, se osoittaa miten jopa suuret toimijat voivat kompuroida. Verkkoon kytketyt toimimattomat tai päivittämättömät laitteet voivat teoriassa päätyä vihamielisen toimijan käyttöön. Skenaarioita on useita, kuten bottiarmeijaan valjastaminen tai sisäverkkoon tunkeutuminen.

Jotkut vaativat, että kuluttajalla tulisi olla oikeus käyttää laitettaan myös ilman valmistajan pilvipalvelua. Tarvitaan mahdollisuus paikalliseen ohjaukseen, avoimeen laiteohjelmistoon tai vaihtoehtoiseen ekosysteemiin.

Trust me, bro

Sohvaperunan pieleen mennyt sarjamaraton on oire laajemmasta ongelmasta: teknologiaa hallitsevat korporaatiot myyvät laitteita, joita emme oikeasti omista. Tämä ei ole vain tekninen kriisi, vaan luottamuksen kriisi. Kuluttajapalveluihin pätee sama kuin ihmissuhteisiin ja diplomatiaan: ilman luottamusta ei ole mitään.

Sormi pois suusta

Kaikkeen ei voi varautua, mutta perusasioista kannattaa huolehtia. Voi esimerkiksi miettiä, miksi jääkaapin pitäisi olla kytkettynä internettiin. Vaikka päivitykset olisivat kunnossa, turhat ja oudosti käyttäytyvät laitteet on hyvä irrottaa verkosta ja pistorasiasta.

Lisää elämää helpottavia – ja toisinaan hermoja koettelevia – arkitekniikan havaintoja ja vinkkejä löytyy täältä.