[FI] Tietoliikennealan katsaus 2022-10

Ongelmat

Whatsappin palvelinongelma 25.10.2022 näkyi myös verkon puolella noin puolentoista tunnin ajan. Whatsappin internet-liikenne tippui selvästi normaalikäyrästä ja vastaavasti piikkasi ylöspäin palvelun palauduttua. Katkon ajan vaihtoehtoinen viestittely näkyi selvänä piikkinä tekstiviestien määrässä. Tosin skaalasta ei ole selvyyttä, joten pienikin muutos määrissä voi näyttää radikaalilta. Italialaiselta TIM-operaattorilta nähtiin outo purkaus, jossa syytettiin häiriön aiheuttaneen operaattorille kustannuksia ja liikennemäärän lisääntymistä, samalla laskien sen oman asiakaskokemuksen laatua. Whatsappin olisi ilmeisesti pitänyt informoida tilanteesta paremmin, jotta asiakkaat eivät olisi kääntyneet operaattorin puoleen ongelmatilanteessa. Tunteisiin taisi mennä.

Merikaapeleita on katkeillut epäilyttävän paljon viime aikoina. Zscaler raportoi Ranskassa Marseillen alueelta lähtevien kaapelien katkoista. Korjausporukka oli paikalla nopeasti, mutta poliisin todistusaineiston keräämistä piti odotella. Ongelmat korjattiin alle vuorokaudessa. Samoihin aikoihin Shetlandinsaarten kuitu katkesi sekä Skotlannin että Färsaarten suuntiin, jättäen saaren eristyksiin internetistä useammaksi päiväksi. Ongelmien aiheuttajaksi on arveltu kalastusaluksia. Vaikka kaksi yhtäaikaista katkoa on harvinainen tapaus, mikään ei tässä tapauksessa kuitenkaan viitannut sabotaasiin.

Ukrainassa yhteydet ovat katkeilleet sähkökatkojen vuoksi. Harkovassa liikenne tippui 80%:iin ja Lvivissä 60%:iin normaalista, Kievissä vähemmän. Suomessa media joutui palvelunestohyökkäysten kohteeksi. Almamedian lehtiä  ja Yle Areenaa pommitettiin hetkellisesti.

Etelä-Koreassa konesalin tulipalo aiheutti paikallisille internet-yhtiöille Naverille ja Kakaolle suuria ongelmia ja hankaloitti niihin luottavien kansalaisten toimintaa vuorokauden ajan. Pangyon konesalia Soulin ulkopuolella on kuvattu viimeisen teknologian ekosaliksi. Sen koko on 67000 neliömetriä. Palon sytyttyä sähköt katkaistiin turvallisuussyistä ja palo saatiin sammumaan noin kahdeksan tunnin jälkeen. Valvontakamerasta selvisi, että palo alkoi akun kipinästä. Automaattinen halogeenisammutus lauksesi.

Ranskassa operaattori Free on erikoistunut julkaisemaan tietoa verkkonsa ongelmista. Kuvista selviää miltä näyttää poltettu DSL-jakamo. Aika masentavan näköistä korjattavaa tuollainen sulanut puhelinkaapelispagetti.

Operaattorit ja 5G

Suomi on noussut entistä enemmän mobiilidatan käytön ykköseksi maailmassa. Data-SIM:t luovat 60% kaikesta liikenteestä, vaikka niiden osuus kaikista SIM:eistä on 20%. Keskimääräinen datankulutus per data-SIM on lähes 100 GB, kun puhelimissa se on vain 19 GB. Silti kiinteät liittymät ovat ottaneet johdon Suomessa niukalla 52%:n markkinaosuudella ohi mobiiliin.

Mitä mobiilidata tarkoittaa operaattorille rahassa? Esim. DNA:lla on 2,7 miljoonaa puhelinliittymää, joiden keskilaskutus on 17 euroa kuukaudessa. DNA saa siis liittymistä tuloa reilut 47 miljoonaa kuukaudessa. Mobiililiittymät ovat noin kaksi kolmasosaa yrityksen liikevaihdosta. Prepaid tuottaa paljon vähemmän ja niiden osuuskin on vain alle 10% liittymistä. Parhaiten tuottavat vanhat kiinteät puhelinliittymät, joita on jäljellä vielä 21000. Niistä saa 40 euroa kuukaudessa.

Operaattorilla kiinteät kulut muodostavat yleensä suurimman osan menoista ja investoinneista. Pieni operaattori tekee palvelua rakkaudesta lajiin ja joutuu elämään säästeliäästi. Isommat investoinnit tai äkilliset muutokset voivat heilauttaa taloutta kohtalokkaasti. Amerikan konsulttien mukaan minimi asiakasmäärä täysiveriselle operaattorille on 2000-3000 asiakasta. Suuruuden ekonomia alkaa purra kun asiakasmäärä saadaan nostettua 20000:een. Tällä skaalalla voi toteuttaa parasta operaattoripalvelua. Tietyn rajan jälkeen tehokkuus alkaa laskea, byrokratia hiipii sisään ja johto menettää kosketuksen todellisuuteen. Huonoina esimerkkeinä ovat yli 200000 asiakkaan jättioperaattorit. Koko ei kuitenkaan oli kuin yksi tekijä, toimintafilosofia ratkaisee. Ihan pienille operaattoreille neuvoksi kerrottakoon, että toiminta on paljon helpompaa yli 10000 asiakkaan kanssa.

Elisa alkaa poistaa 3G-verkkoa Hämeenlinnasta tämän vuoden aikana. Projekti etenee vaiheittain ja verkko ajetaan alas ensi vuoden loppuun mennessä.

Pilvinatiivi 5G ja verkon funktiot avataan Robin.io:n videolla. Se on hyvä teknologiakatsaus mitä verkko sisältää.

Boingo Wireless on ottanut ensimmäisenä TIP-jäsenenä avoimen Wifi6E-verkon kaupalliseen käyttöön. Openwifi on 2021 aloitettu avoimen koodin projekti , jolla erilaisia tukiasemarautoja voi käyttää samalla avoimella käyttöjärjestelmällä ja hallinnalla. Facebookin entinen insinööri aikoo rakentaa oman mobiiliverkon. Ukaman laitteilla voi jakaa oman kotiyhteyden LTE:nä muille käyttäjille. Peruspalikka on 799 dollarin Tower node, jolla voi lähettää signaalia kilometrin säteelle omalta katolta.

Suomen ja Cinian sinnikkäästi ajama arktinen kaapeli Euroopan ja Aasian välillä on taas aktivoitu Venäjän kanssa tapahtuneen takapakin jälkeen. Nyt Cinian, amerikkalaisen Far North Digitalin ja japanilaisen Arterian yhteisyritys alkaa haalia asiakkaita ja sijoituksia kaapelille, jonka uusi reitti kulkee luoteisväylää Grönlannin ja Kanadan ohi Japaniin. Hintalappu on erittäin kova 1,1 miljardia euroa ja kaapelin on suunnitelma valmistuvan 2026. Pääsuunnittelijaksi on valittu Nokian Alcatel Submarine Networks. Reitti on nyt 15% pidempi kuin koillisväylän kautta, mutta uuden reitin varrella on parempia rantautumispaikkoja ja enemmän mahdollisia asiakkaita. Asiantuntijat kuitenkin huomauttavat, että arktisen kaapelin ylläpito on vaikeaa jäätiköiden keskellä ja geopoliittisesti jännittyneellä alueella. Suomella tuntuu olevan päähänpinttymä, että kaapelin pää tekee meistä kansainvälisen liikenteen solmukohdan. Saa nähdä miten käy. EU on myös tukemassa hanketta ja haluaa hajauttaa Aasian kaapelireittejä ohi Suezin kanavan keskityspisteen. Arktinen kaapeli on alettu nähdä strategisena investointina ja se sopii välineeksi transatlanttiseen yhteistyöhön. Kaapeleista on tullut osa sotilaallista toimintaa ja se voi myös olla riski internet-infralle. EU:ssa kaapelit on otettu osaksi hybridiuhkien torjuntaa, jossa olennaisena osana on mm. laivaliikenteen satelliittivalvonta. Ja silloin myös Euroopan satelliittijärjestelmälle tulee isompi rooli puolustuksessa.

Laajakaistapuolella kuituhulluus jatkuu. Rahaa syydetään kuidun rakentamiseen, mutta riskinä on kuitenkin kulujen odottamaton kasvu ja rakentamisen viivästyminen. Kuitu nähdään ylivoimaisena tekniikkana, mutta kuidulla on kuitenkin joku elinikä noin 30 ja 100 vuoden välillä. Kaikki verkot pitää uusia joskus. Fyysisesti lasi vanhenee, samoin kuin kaapelin kuori. Huomaamattomat vauriot asennusvaiheessa voivat aiheuttaa ongelmia myöhemmin, varsinkin kuumuuden ja veden kanssa. Kuitu on kaikkein kallein ja työläin rakentaa. Hintaluokka on n. 25000 euroa/km. Pandemia näytti miten yhteystarve voi äkisti muuttua ja siihen ei kuiturakentamisen tahdilla vastata. Siksi muitakin yhteystapoja on hyvä harkita ja valita niistä kuhunkin kohteeseen ja käyttötarkoitukseen sopivin.

Omalla asuinalueella partioi nyt Valokuitunen lähes päivittäin käännyttämässä ihmisiä kuidun tilaajiksi. Asiakkaita on näköjään vaikea saada riittävästi. Elisa kuitenkin tuli ja nokitti halvimmalla tarjouksella. Rakennusaikataulu siirtyisi sen myötä  taas puoli vuotta eteenpäin. Malli on nyt selvinnyt: kuluttajan pitää liittyä ennakkotilaajaksi kaikille tarjoajille. Riittävän asiakasmäärän kerännyt toimija saa alueelle rakennusluvan ja asiakkaat. Muut ennakkotilaukset raukeavat lopulta kun rakennuspäätöstä ei tule. Kuluttajan kannalta vain on epämukavaa kun ei tiedä mitä saa ja millä hinnalla.

Starlinkin satelliittien käytöstä Ukrainassa nousi haloo kun Musk kertoi, ettei voi enää rahoittaa palvelua, jonka hinta on 400 miljoonaa dollaria vuodessa. Musk pyysi rahaa USA:n puolustusministeriöltä ja sanoo jo maksaneensa 70% parhaista 4500 dollarin kuukausiliittymähinnoista. Kieltämättä näyttää, että hyväntekijänä esiintynyt Musk on lypsänyt rahaa valtioilta ja joukkorajoituksesta. Muutamaa päivää myöhemmin Musk kuitenkin taipui ja heittäytyi marttyyriksi luvaten jatkaa rahoitusta. Ukrainaan on toimitettu 20000 terminaalia ja niitä on pyydetty vielä 8000 lisää. Starlink on ollut Ukrainalle tärkeä väline sodassa, mutta se kuitenkin jopa liian riippuvainen satelliittiyhteyksistä, koska niiden häiriöt ovat vaikeuttaneet joukkojen toimintaa “katastrofaalisesti”. Yhteyskatkot ovat olleet yleisiä varsinkin Venäjän haltuunottamilla alueilla. Ongelmat saattavat johtua siitä, että Starlink on yrittänyt estää Venäjää käyttämästä yhteyksiä. Ukraina on käyttänyt Starlinkiä lennokkien ohjaamiseen, tiedottamiseen ja joukkojen väliseen viestintään. Venäjä taas on uhonnut, että Starlinkistä ja sen provosoivasta käytöstä tulee sodan kohde.

Myös suomalainen Iceye on toimittanut kuvamateriaalia satelliiteista Ukrainan käyttöön. Aalto-yliopiston startupista on tullut valtioiden turvallisuusteknologian edelläkävijä (HS-maksumuurin takana). Puhelimissa toimivalla Eppo-sovelluksella ukrainalaiset voivat raportoida lentävistä ohjuksista tai droneista armeijalle ja näin auttaa ilmapuolustuksessa. Loon-ilmapallonetin tekniikkaa ja toimintaa esitellään perusteellisesti Micah Lernerin blogissa.

Starlinkin uusi lentokonenetti Aviation on kehitysvaiheessa ja toimitukset alkavat ensi vuonna. Rahoittaakseen Starlinkiä Musk saattaa irrottaa sen Spacex:stä omaksi yhtiökseen ja tehdä listautumisannin. Kasvun myötä liikevaihdon ennustettavuus paranee ja pääoman kerääminen on luonteva seuraava askel. Spacex:stä haetaan apua myös avaruusteleskooppi Hubblen laskevan kiertoradan korjaamiseen. Hubble on kuvannut avaruutta jo 32 vuotta, mutta sen rata madaltuu jatkuvasti. Spacex:än Dragon-kapseli voisi työntää Hubblea ylös ja astronautit voisivat myös huoltaa teleskoopin laitteita. Näin saataisiin Hubblelle 20-30 vuotta lisää elinaikaa.

Nokian strategia Lundmarkin johtamana näyttää toimivan ja se on nyt tasavertainen Ericssonin kanssa. Panostus yritysverkkoihin on tuonut 22% kasvun liikevaihtoon ja 30 uutta asiakasta tällä kvartterilla. Merkittävää menestystä on tullut Intiassa. Kilpailukyky on parantunut ja toimitusketjun ongelmat ovat helpottaneet, mutta kannattavuus jäi tavoitteesta. Heikko kohta on pilvi – ja verkkopalvelut, joissa on menossa uudistusten ja isojen investointien kausi. Sen vuoksi kannattavuus on heikko. Talouden näkymät operaattoreilla voivat kuitenkin vähentää investointeja, mikä näkyy laitevalmistajien tuloksessa.

Sähkön hinta painaa erityisesti suurtehoisissa radion pitkäaaltolähetyksissä. RTL Luxembourg on lopettamassa LW-lähetyksen vuoden lopussa ja säästää sillä 6000 MWh vuodessa. AM-masto toimii maasta eristettynä kokonaisvärähtelijänä, joka luo ympärilleen kuolleen pisteen. Siksi operaattorit ovat välttäneet näitä mastoja ja niiden ympäristöä. Käyttämättä jääneille ja hyljeksityille AM-mastoille voisi kuitenkin löytyä käyttöä mobiiliverkossa, jos maston ominaisuuksia pystytään hyödyntämään niin, että antennit saadaa eristettyä maasta samalla AM-taajuudella.

Telia syyttää huonosta tuloksestaan kallistuvaa energiaa. Kustannusten ennustetaan nousevan 900 miljoonaa kruunua eli 600 miljoonaa ennakoitua enemmän, kuin kolme kuukautta sitten osattiin ennakoida. Melko huonoa ennustamista. Operaattorit ovat suojanneet sähkön hinnan tälle vuodelle lähes täysin, joten hintojen nousun ei pitäisi nyt aiheuttaa ongelmia juuri nyt. Tilanne voi olla toinen pidemmällä tähtäimellä. Vodafonen tilaston mukaan energiankulutus ei nouse liikennemäärän kasvaessa, vaan pysyy tasaisena. Tehokkuuden lisääntyessä tietysti suhteellinen energiankulutus per bitti laskee.

Pilvi ja konesali

Sähkön hinta nostaa myös pilvipalveluiden ja konesalipalveluiden hintoja jopa 30%:lla. Euroopassa hintojen nousu on suurempaa kuin USA:ssa. Pilvi-investoinnit ovat IT-alan kaikkien aikojen suurin ilmiö, joka vain jatkaa kasvuaan. Julkipilven kärkiseitsikko on investoinut tänä vuonna 140 miljardia dollaria pilvialustoihin. Pilvisiirtymä alkoi halvan rahan aikana, mutta nyt tilanne muuttuu. Yrityksissä paine kustannussäästöihin pilven osalta kasvaa. Wancloudsin tutkimuksen mukaan 81% johdosta ohjaa säästämään pilvikustannuksissa. Tämä on helpommin sanottu kuin tehty. Pilviasiakkaat on vahvasti lukittu valittuun pilveen ja osaajiin, näkyvyys ja hallintavälineet eivät riitä ja hajautunut hybridi- ja monipilvi ei helpota asiaa.

Pilvijättien tulokset on koottu kivasti puroista joeksi App Economy Insightsin tekemissä kuvissa. Google yllätti suurimmalla 38% liikevaihdon kasvulla. Azurella ja AWS:llä on pienoista kasvun laskua nyt alle 30% lukemilla. Markkinaosuudet ovat pysyneet samoina eli AWS johtaa 34% osuudella. Microsoftin ennusteista herää kysymys miten yritysmarkkina voi. Googlen mukaan pitkäaikaset trendit pilvisiirtymässä ovat nyt entistä tärkeämmässä asemassa kun maailmatilanne on epävarma. Kasvun hidastuminen on väistämätöntä, mutta silti pilvijättiläiset jatkavat konesalien laajentamista. Erityisesti Meta panostaa investointeihin tekoälysovelluksiansa varten. Intel ei kuitenkaan niistä hyödy, vaan Nvidia ja AMD ovat ottaneet nyt 50% osuuden prosessorimyynnistä.

Teknoedelläkävijät luopuvat julkipilvestä, mutta silloin usein puhutaan IaaS- ja PaaS-palveluista. Modernit sovellukset olisi pitänyt jo siirtää serverless-funktioille, eikä pyörittää virtuaalikoneiden päällä. Konesalin ja pilven infrainvestointi on vain noin 20% kaikista kuluista. Suurin osa tulee mm. tiloista, sähköstä, työstä ja osaamisesta, joita voi olla vaikea arvioida. Simon Wardleyn kuva pilvimalleista esittää miten niillä ratsastetaan.

Charles Rosenbauer esittää ennustuksia tietokoneiden tulevaisuuteen. Mooren laki on uhannut päättyä jo pitkään, mutta kehitys jatkuu aina vaan. Mutta nopeasti se johtaa entistä kummallisempaan rautaan. CPU:t nopeutuvat vielä pitkään, mutta jatkossa tutut arkkitehtuurit x86, ARM ja RISC-V hylätään. Kvanttilaskenta inspiroi perinteistä laskentaa. Laskennassa vaikuttavat myös Amdahlin ja Gustafsonin lait. Kvanttilaskennassa, kuten supertietokoneissakin, softalla on väliä. Siksi kvanttikoneille pitää rakentaa sovelluskehitysrajapinnat, kuten Intel on tehnyt.

Intel on julkaissut yhdessä Googlen kanssa uuden Mount Evans E2000 DPU/IPU:n. E2000 tekee verkkoliikenteen paketoinnin CPU:n puolesta ja tuo tietoturvaa jaettuihin CPU:ihin. Yhteiskehityksen tuotosta Intel voi kuitenkin myydä muillekin asiakkaille. Kortti on esittelyssä Serve The Homella.

AWS:llä on kattava lista käytännön oppaita eri palveluiden käyttöön. John Savillin Azure-opasvideot on mainittu ennenkin.

Google avaa ensi vuonna ensimmäisen konesalin Japaniin, joka on ollut sen ensimmäinen Amerikan ulkopuolinen toimisto jo yli kymmenen vuoden ajan. Chiba Datacenter on osa 730 miljoonan dollarin investointia ja se liittyy Topaz-merikaapeliin. Suomessa Ficolon konesalit vaihtavat nimeä Verne Global -brändiksi.

Equinix lopettaa muiden kuin yksimuotokuitujen käytön ristikytkennöissään 2024 maaliskuuhun mennessä. Eipä tämän vaikutus ole kovin suuri, muuten kuin ehkä konesalikampuksen sisäisissä kytkennöissä, jos niissäkään. Siirtymäaika on ainakin pitkä.

Konesalien sähkönkulutus on luokkaa 1-5% maailman sähköstä. 2030 osuus olisi kasvunut 3-13%:iin. EU:ta kiinnostaa nyt digitaalisen teollisuuden energian ja veden kulutus. Metan ja muiden jättien konesaliprojekteja on torpattu Euroopassa ja EU suunnittelee nyt energiamerkkiä konesaleille. Ongelmat kärjistyvät kun lämpötilat nousevat ja vedenpinta laskee. Tänä kesänä nähtiin ensi kertaa konesalien suunnitteluarvojen ylitys ja sen myötä on siirrytty tuntemattomille vesille. Jokainen lisäaste lämmössä tarkoittaa 10-15% kapasiteetin menetystä.

Kyberturvallisuus

Tietoturva Ry on jakanut vuoden tietoturvatunnustukset, joista nostetaan jalustalle Traficomin ja operaattorien yhteistyö, Generation Z Hack Challenge, Women4Cyber Finland, kansalaisten kiinnostus maanpuolustusvalmiuden kehittämiseen, asiantuntojoiden jakama tilannetieto ja Flubot-ryhmän alasajo. Vuoden tietoturvapalvelu on JAMK:n kehittämä kyberturvallisuuden harjoitusympäristö (RGCE).

Oulun yliopisto alkaa kouluttaa kyberturvan maistereita ensi keväänä. Painotus on teknisessä osaamisessa eli järjestelmien, ohjelmistojen ja laitteiden suunnittelussa, kehittämisessä, testaamisessa ja arvioimisessa. Koulutus sisältää kuitenkin myös laajojen ja monimutkaisten järjestelmien tutkimista ihmisten ja prosessien näkökulmasta.

Protocol-media on julkaissut Securing Enterprise -otsikon alla sarjan artikkeleita yritystietoturvaan. Peter Welcher vertailee blogissaan zero trustin vaatimaa pääsynhallintaa verkossa ja päätelaitteessa. Näkyvyys IT-ympäristöön johtaa joka tapauksessa parempaa turvallisuuteen, toteavat tutkimukset. Verkko ja tietoturva pitää saada yhteisiin työkaluihin ja siinä perustyökalut, kuten DDI, ovat paikallaan. DDI-tuotteen metatietoja kannattaa myös hyödyntää. Tämän päivän pirstaloitunut kokonaisuus ei ole enää hallittavissa manuaalisesti, vaan siihen tarvitaan automaatiota. Ja automaatio on välttämättömyys myös valvonnassa ja havainnoinnissa.

Nato-hakemuksen jälkeen Suomeen kohdistuvat hyökkäykset ovat lisääntyneet. Määrä on tuplaantunut viime vuodesta, mikä tarkoittaa 1324 hyökkäystä viikottain. Koulutussektori kerää yli kaksinkertaisen määrän hyökkäyksiä muihin toimialoihin verrattuna. Kiristyshaittaohjelmilla isketään nyt erityisesti terveydenhuoltoon.

Ukraina on tehnyt kybertaistelussa yhteistyötä jo pitkään USA:n, Viron ja Microsoftin kanssa. Harjoittelua on saatu vuosien mittaan ja siksi se selviää nyt yllättävän hyvin kybersodassa. Tosin Venäjäkään ei ole ollut parhaassa iskussa ja toiminta on ollut vaisua. Vaikuttavin isku on ollut KA-SAT-häirintä, vaikka sekään ei tainnut ihan täydellisesti onnistua. Venäjän iskut USA:n vaaleihin ja Ukrainaan 2015 olivat virhe, koska se johti monissa valtioissa ja organisaatioissa mittaviin kyberturvaparannuksiin. USA lähetti jo 2015 tiikeritiimejä Puolaan tukemaan kybersotaa. Ukraina on mm. siirtänyt palveluita pilveen ja muihin maihin, jolloin Venäjällä on korkeampi kynnys hyökätä palveluihin.

Microsoftin tuotteilla on vahva rooli Ukrainassa ja yleensä muutenkin IT-järjestelmiä rakentavilla yrityksillä on luonteva osa kyberturvallisuuden varmistamisessa. Näyttää, että yritykset ovat nyt näkyvästi mukana rakentamassa valtiollista tietoturvaa, mutta valtioiden pitää myös muistaa, että yritysten palveluilla on hinta ja kaikkia kuluja ei voi sysätä yritysten harteille. Valtioiden puolesta taistelevat myös hakkeriryhmät.

Jatkuvaa haavoittuvuusvirtaa tuottaa In The Wildin haavoittuvuusfiidi. Pahoja haavoittuvuuksia on ollut taas liikkeellä. Fortinetin tuotteissa autentikoinnin ohituksella pääsee suosittamaan komentojaOpenssl-kirjastossa ollut puskuriylivuotohaavoittuvuus on korjattu. IOS16 näyttää kommunikoivan Applen omiin palveluihin ohi VPN-tunnelin ja se vuotaa myös DNS-kyselyt. Samanlainen ominaisuus on Androidissa. Saksan BSI on kuitenkin sertifioinut IOS:n ja sen natiivit sovellukset tietoturvallisiksi korotetun tason tiedonkäsittelyyn. Avoimen koodin Zeekurity NDR on nyt osa Windowsin Defenderiä.

Hashicorp Cloudiin on lisätty Boundary-tuote, jolla ZTNA-toiminnot saa käyttöön helposti monipilven kanssa. Ilmainen projektiluonteinen mysocket.io on nyt muuttunut Border0-yritykseksi, joka tarjoaa kitkattoman ja turvallisen pääsyn infraan etänä.

Saksalainen kyberturvatalo Protelion kyntää kriisissä kun selvisi, että se on ex-KGB-agentin perustama. Huhujen mukaan yrityksen skannaustuotteella olisi ollut mahdollisuus välittää käyttäjäorganisaation tiedot suoraan Venäjälle ja antaa pääsy verkkoon.

Vaikka SSH on hyvin salattu protokolla, sessiota voi kuitenkin vakoilla hallussa olevalla hostilla strace– ja script-sovelluksilla tai EBPF:ää väärinkäyttämällä.

Tekniikka ja operointi

Aloituslainaus Marinanne Bellottin kirjasta Kill It with Fire: Manage Aging Computer Systems (and Future Proof Modern Ones): “rakennamme tietokonejärjestelmät samalla tavalla kuin kaupungit: ajan mittaan, suunnittelematta ja raunioiden päälle”.

Teknistä velkaa kertyy, vaikka miten yrittäisi estää. Googlella oli sanonta “juosta paikallaan”, jolla tarkoitettiin sitä kun kaikki kapasiteetti menee riippuvuuksien päivittämiseen ja kehitystä ei päästä tekemään ollenkaan. Velkaa voi yrittää korjata migraatioilla, jotka taas vaativat yhteisiä ponnistuksia eri osapuolten kesken. Migraation tekemiseen on tarjolla kaava, jossa ensin poistetaan riskit suunnitteludokumentilla ja sen katselmoinnilla. Sen jälkeen mahdollistetaan muutos työkaluilla ja ohjeilla. Lopuksi finalisoidaan muutos poistamalla vanha järjestelmä käytöstä.

Historian oppitunnilla on tänään Ethernet-enkapsulointi ja sen monet versiot. Historiallista TCP:tä haastetaan jatkuvasti ja QUIC tuntuu olevan moneen sovellukseen ratkaisu. Roku kehitti omaan videokäyttöön paremmin toimivaa siirtoprotokollaa, jolla uudelleenlähetyksien käisttelyä ja luotettavuutta saatiin parannettua. QUIC:n etuna on tehokkuuden lisäksi käyttöjärjestelmäriippumattomuus, jolloin sitä voidaan tuunata suoraan sovelluksessa ja päätelaitteissa.

Klassinen ISC DHCP Server on ajettu EOL-tilaan ja viimeiset päivitysversiot on pukattu ulos. Suositus on tainnut olla jo pitkään siirtyä Kea Serveriin. IETF määrittelee nyt NTPv5:sta ja siihen liittyviä toimintoja.

Tracketpacer koosti mainion listan mitä on käytännön laiteasennnus ja kaapelointi. Sormet verille, selkä kipeäksi ja hermot kireälle. Siinä unohtuu haaveet kaapelipornosta. Onneksi asennukseen löytyy apua mm. kokemuksesta, varautumisesta, näppäristä työkaluista ja tarvikkeista.

Pete Lumbiksen tarina TAC-keikasta taas kuvaa mitä valmistajan tukiprosessin taustalla tapahtuu. Asiakkaalla oli hankala satunainen ongelma. Labrassa reittiohjelmointiin liittyvä ongelma saatiin toistettua ja kohdistettua laitteen CPU:hun. Mutta kun asia vietiin kehitystiimille, viesti oli että CPU tekee tehtävänsä kuten pitää. Alustatiimi vahvisti, että CPU laskee, mutta se ei selitä pakettihäviöitä. Selvisi, että softa ja rauta eivät toimineet synkassa, siksi osa ping-testeistä toimi jo ohjelmoiduille reiteille, osa ei. Kuinka pitkä katko reittimuutoksesta siis tulee? No se riippuu reittien määrästä ja järjestyksestä, alla olevasta raudasta ja softan suorituskyvystä. Ja mikä oli lopputulos? Klassinen kommentti: “odotettua käytöstä”.

Ciscon Nexus 9300 -kytkimiin on eksynyt 2020 loppupuolella viallisia DIMM-muisteja, jotka saattavat aiheuttaa ongelmia laitteen toimintaan. Cisco on käynnistänyt vaihto-ohjelman.

VXLAN-verkossa pakettikoko saattaa aiheuttaa kinkkisiä ongelmia, koska lähtöpään VTEP:llä ei ole mitään keinoa kertoa lähettäjälle mikä on suurin sallittu koko. VXLAN aiheuttaa 50 B lisää paketin päälle ja RFC:n mukaan VTEP ei saa fragmentoida pakettia. Niinpä liian isot paketit tippuvat hiljaisesti matkalla, laskurit saattavat kertoa asian, tai sitten ei. Isoissa IXP:eissä BUM-liikenteen taustamelu on valtavaa, ja sen levitystä ympäri verkon pyritään minimoimaan kehittyneemmällä verkkotekniikalla. DE-CIX on ottamassa käyttöön ensimmäisenä IXP:nä EVPN-MPLS -peering lanin. Lisäksi mukaan laitetaan ehkä hieman vanhahtava RSVP-TE, jolla voidaan tehdä liikennesuunnittelua.

Sonic-käyttöjärjestelmän ympärille on syntynyt uusi startup Hedgehog, joka tuli nyt julkisuuteen. Tavoitteena on olla verkon Redhat eli avoimen koodin kaupallistaja. Tarkoitus on tuoda Sonic massoille lisäämällä sille paremmat hallintatyökalut ja helpottamalla sen käyttöä myös yrityksissä. Sonic pyörii nyt yli 100 eri kytkinmallilla ja yhteisössä on 850 jäsentä. Hedgehogin takana ovat ex-ciscolaiset Marc Austin ja Mike Dvorkin, sekä ex-apstra/cumuluslainen Josh Saul.  Dvorkin tunnetaan Ciscon ACI-stragian arkkitehtina. Aiemmin avoimia verkkoja on vaivannut pettymykset, mutta nyt Hedgehogilla on selkeä näkemys liiketoimintastrategiasta: mahdollisimman paljon avointa koodia jakoon, helppo käyttöönotto ja päälle kaupalliset hallinta- ja automatisointituotteet. Sonicin mahdollisuutena yrityspuolella nähdään pilven kotiuttaminen ja vaikeammat työkuormat, joita pitää ajaa omassa infrassa. Sonic perustuu pilvimaailmaan, jossa toimitaan eri tavalla kuin perinteisessä verkossa. Siksi on kiinnostavaa kuulla “uuden verkon” periaatteet: sovellus määritellään YAML-tiedostoina ja verkko muodostuu sen mukaan. Sovellukset siirtyvät enemmän Kubernetesin päälle ja siten myös enemmän puhtaaseen L3-verkkoon. Hinnoittelumalli perustuu klusterien nodejen määrään, ei kytkinten määrään tai ominaisuuksiin. Myynti tapahtuu nyt pilviarkkitehdeille, ei perinteisille verkkokavereille. Hedgehog on testausvaiheessa ja automaatiotuote on tulossa ulos ensivuoden alussa.

Marvell on hyödyntänyt Sonicia tallennusverkkoratkaisussaan. EBOF-käytössä suorituskykyä on saatu parannettua vaihtamalla CPU, RAM ja Smartnic Ethernet-kytkimeksi. Sonic toimii myös ARM:lla, joten sitä voi käyttää halvemman luokan sulautetuissa laitteissakin. Ja tietysti myös DPU/IPU/Smartniceillä. Sonicilla saa laajemman telemetrian ja näkyvyyden palvelunlaatuun ja vianselvitystä helpottamaan. Ebayn Isaac Aldrin esittelee omia kokemuksia Sonicista yritysverkossa. Kokemus on ollut pääasiassa hyvä, mutta teeseitse-henkeä ja yhteisön tukea näissä hommissa vaaditaan.

IETF on saanut määriteltyä viiden vuoden jälkeen Intent-based Networkingin konseptit ja termit. Ne löytyvät nyt RFC9315:sta.

Marvell on pukannut tuotekehityksestä ulos 400/800G-AEC-kaapelit. PAM4-modulaatiota käyttäen aktiivikuparikaapelilla päästään muutaman metrin pituuksiin kustannustehokkaasti. Käyttökohde on palvelinkytkennöissä.

BGP:stä ja reititysongelmista on tullut yhteiskunnallinen asia. Nyt jopa OECD on julkaissut selvityksen BGP-häiriöistä ja reitityksen suojaamisesta. Ongelma on tuttu, kuten myös välineet sen hoitamiseen: reittien oikeellisuuden varmistusta ja suodatusta. Ongelma vaan on se miten saada kaikki mukaan, koska internetissä yksin ei pysty koko ketjua suojaamaan. Myös täysin uudenlainen akateeminen kehitelmä SCION on nostettu esiin, mutta se tuskin tulee ratkaisemaan mitään. ASPA taas on vaihtoehtoinen RPKI:n päällä toimiva AS-polun autorisointiobjekti, jota operaattorit voisivat käyttää reittimainostuksissaan.

RPKI:n julistaminen rikkinäiseksi on herättänyt närää internet-yhteisössä. Töitä on tehty asian eteen ja RPKI:n 40% kattavuus on kuitenkin kohtalaisen hyvä. Salliva “fail open” -toimintamalli takaa toimivuuden siirtymäaikana. Pääosa internetin liikenteestä suuntautuu kuitenkin RPKI-valid -reitteihin. Reittimainostuksen toteaminen RPKI-invalidiksi leikkaa mainostukset puoleen, joten vaikutus on merkittävä. Job Sniders ja Doug Madory avaavat blogissan miten RPKI-validointi vaikuttaa reittien leviämiseen ja Madory vielä havainnollistaa asiaa lisää. Vaikka BGPsec on ollut paperilla jo pitkään, se on toteutukseltaan vielä tuore ja vasta tulossa käyttöön seuraavien vuosien aikana. Ciscon BGP Zero to Hero osa 8 esittelee perus suodatusmenetelmiä Cisco-laitteilla.

BGP:ssä AS-polun pituus on yksi bugeja triggeröivä ominaisuus. Quaggassa 500 AS-prependiä aiheutti virhetoimintoja, mutta bugi korjaantui 1.2.4-versiossa. BGP:n historiassa RFC1105:ssa määriteltiin, että saman AS:n sisällä reitittimillä pitää olla yhteinen näkemys reiteistä. Toteutustapa jätettiin auki. Ensin BGP reititit redisdtribuutattiin IGP:hen, jotta kaksi protokollaa toimivat synkassa. Oikeastaan IBGP:tä ei silloin tarvittu ollenkaan jos reitit redistribuutattiin molempiin suuntiin BGP:n ja IGP:n välillä. Tämä ei ollut kovin toimiva ratkaisu ja vaihtoehtoinen tapa oli IGBP full mesh -peeraus kaikkien reititinten kesken. Isommalla reititinmäärällä sekin oli huonosti skaalautuva malli. 1996 esiteltiin route-reflector ja confederation. Confederation oli todella kömpelö ja huonosti mukautuva ratkaisu, jota harva ikinä käytti. Route-reflector jäi elämään ainoana toimivana ratkaisuna. Tosin nyt EVPN:n myötä mukaan luupinestoon on tulossa myös D-PATH -attribuutti, joka toimii kuitenkin minkä tahansa osoiteperheen kanssa.

Työkalupuolella Packetvis on RPKI:n reaaliaikamonitori, jolla voi valvoa BGP- ja RPKI-tapahtumia. Netboxin forkki ja kilpailija Nautobot sisältää nyt useita malleja BGP:n dokumentointiin ja seurantaan. Ranskalaisoperaattori Freen kehittämä flow-keräin ja visusualisointityökalu Akvorado tulee kilpailemaan avoimen koodin markkinoille perinteisen pmacct:n rinnalle. Wiresharkista on julkaistu 4.0.0-versio. Näyttöfilttereissä voi käyttää emojeita. Erilaisia verkkopalveluita saa palveluna pilvestä yhä enemmän. RADIUSaaS tarjoaa radiusta ja Netyce Network Compliance as a Service -palvelua. Jos palvein- ja konfiguraatioautomatisointi kiinnostaa, Ansible for Devops -kirjaa voi nyt ladata ilmaisesksi.

Yritykset ja tuotteet

Greg Ferro keskustelee quiet quitting -ilmiöstä ja hääräämiskulttuurista Packet Pushersin Heavy Strategy -podcastissa. Resursseja kybertyönhakuun löytyy Offensive Securityn Twitter-ketjusta, jossa vinkataan CV:n laadintaan, haastatteluun valmistautumiseen ja muuhun orientoitumiseen. CV:n rakentamiseen löytyy netistä ilmaisia työkaluja.

Saksalainen rahasto panostaa digitaalisen infrastruktuurin teknisen suvereniteetin rakentamiseen avoimen koodin ympärille. Pilottirahoitukseen ovat päässeet mm. Openssh, Openpgp, Curl, Wireguard ja Openbgpd.

25G-verkkokorttien toimitusmäärät ovat ylittäneet 10G-korttien määrän. 25G-korttien myynnin kasvu on ollut kovaa 60%:n vuosikasvulukemilla. Palvelinpuolella 50G ja 100G ovat myös nousussa ja siksipä 25G:n kasvuluvut tuntuvat vieläkin vaikuttavimmilta. Vastaavasti kytkinpuolella 25G-portit ovat ohittaneet 10G-portit toimitusmäärissä. Tosin yleensä konesalikytkimissä portti tukee molempia nopeuksia.

Tietoturvayhtiö Crowdstrike haluaa laajentaa tonttiaan IT-kentällä. Yhtiön tuotteen pohjana on pilvinatiivi sovellusalusta, johon voi helposti lisätä ominaisuuksia. Tällä ratkaisulla Crowstrikestä voi tulla ensimmäinen täysin integroitu sovellusalusta kyberalalla. Integroitu ratkaisu tehostaa toimintaa sekä yhtiön että päätelaiteagentin päässä. Nyt kasvava alue on tiedon havainnointimoduli, joka perustuu Humiolta ostettuun tuotteeseen. Havainnointia voidaan tehdä laajemmin kaikentyyppiseen IT-dataan ja toiminnot eivät rajoitu vain tietoturvaan. Kiva nähdä, että alalla aletaan nyt tajuta tietoturvan olevan tiedonsaanti- ja käsittelyongelma, ja että koko IT-kenttä linkittyy tietoturvallisuuteen ihan perustasolta asti. Crowdstriken toinen panostuskohde voi olla sovellusturva, jota asiakkaat kaipaavat. Crowdstrikella ei  kuitenkaan ole haluja lähteä verkon puolelle tekemään tietoturvaa, vaan se keskittyy päätelaitteisiin ja työkuormiin.

Fortinet on yhdistänyt pilvi-SSE:n palomuureihin integroiduksi ratkaisuksi ja markkinoi itseään ainoana tällaisen yhden kokonaisuuden tarjoajana. Uutta on pääsy yksityisverkkoon FortiSASE:n, SD-WANin ja ZTNA:n avulla. Lisäksi FortiSASE:n SaaS-palveluiden käytön valvontaa ja kontrollointia on laajennettu.

Loihde osti pilviyhtiö Onregon ja vahvistaa sillä digiprojektien ja pilvitietoturvan kehittämisvoimaa. BLC ja OP:n rahasto investoivat Itä-Suomen elinvoimaisuuteen rakentamalla valokuituverkkoa 80 miljoonalla eurolla. Alueella on keskimäärin huonompi tilanne nopeiden verkkoyhteyksien saatavuudessa, kuin muualla Suomessa.

Juniper yllätti hyvällä tuloksella Q3:lla. Toimitusketjun ongelmat helpottavat ja kysyntä on kovaa varsinkin tietoturvapuolella. Panostus pilveen ja tietoturvaan on tuottanut hedelmää. Myös pilvikonesalien puolella on mennyt hyvin ja pilvijättien viisikko on ostanut tavaraa innokkaasti. App Economy Insightsin tulosvisualisoinneista löytyy teknoyhtiöitä, esimerkkinä Cloudflare, Arista ja Crowdstrike. Ennätyksellisen hyvin meni Aristallakin.

Internet

Internetin rakennetta voi analysoida ja kuvata sosiopoliittisesti. Louise Drulhe rakentaa 15 hypoteesin kautta kuvaa internetin sosiaalisista, poliittisista ja taloudellisista ongelmista ja suhteista.

Amerikan internet-rekisterin ARIN:n historia juontaa juurensa 1960-luvulle ARPANET:n aikohin. Vasta 1992 hallinnon verkko ja kaupallinen internet päätettiin erottaa ja ARIN perustettiin. Euroopassa RIPE perustettiin 1989. ARIN 50 -konferenssi kokosi pitkästä aikaa alan ihmiset Hollywoodiin.

Nettineutraliteettikeskustelu velloo ja jakaa osapuolia. Operaattorien etujärjestön ETNO:n vetoomuskirjeen allekirjoittivat 16 jäsentä, loput kymmenen eivät. Elisa ei ollut tukemassa vetoomusta. EU:n riippumaton sääntelyelin BEREC sanoo, että teknojäteillä ei ole mitään syytä maksaa operaattorien pyytämää 40 miljardin euron vuosilaskua. EU komissaari Thierry Breton kuiten ajaa toista linjaa entisenä France Telecomin pääjohtajana. Historia toistaa itseään. Tällainen episodi nähtiin myös kymmenen vuotta sitten. Traficom on laatinut verkkoneutraliteetin vuosiraportin. Traficomin tehtävänä on valvoa tasapuolisuuden toteutumista Suomessa ja suuntaviivat tulevat EU:n BEREC:ltä.

Myös Intiassa Bharti Airtel vaati kymmenen vuotta sitten Youtube-liikenteestä maksua. Anurag Bhatia selvittää miten OTT-liikenne ja maksullinen peeraus toimii. Niin kuin on moneen kertaan todettu, OTT-liikenne suuntautuu operaattorien maksaville asiakkaille. Sisällöntuottajat optimoivat jakelun CDN-välityspalvelimilla ja peerauksilla operaattorien kanssa. Maksullinen peeraus on jo todellisuutta sisällöntuottajien ja operaattorien välillä. Lopulta kuitenkin käyttäjä aina maksaa palvelusta.

Etelä-Korean parlamentissa verkkomaksulaista on käyty kovaa kiistelyä. Laki kuitenkin on vielä kaukana toteutumisesta. Koreassakin tajutaan, että sisältöjen verkkomaksut saattavat hankaloittaa kotimaista sisällöntuotantoa parin kotimaisen operaattorin suojelemiseksi.

EU on huolissaan Carrier-Grade NAT:n vaikutuksista verkkorikollisuuden selvittämisessä. CGN:llä saman ip-osoitteen taakse natataan suuri joukko käyttäjiä. 90% mobiiliverkoista ja 50% kiinteistä käyttää CGN:ää. Työryhmä on sitä mieltä, että rikostutkimus on epäonnistunut CGN:n käytön takia, koska ip-osoitteita ei ole pystytty tarpeeksi hyvin yhdistämään käyttäjiin. Ratkaisuksi esitetään yhteistä sitoutumista CGN:n käytön vähentämiseen, lähdeporttien lokitukseen tai ipv6:n käyttöönottoon. Rikostutkimuksen kannalta ip-osoitteiden käyttö ainoana identifioivana tekijänä tuntuu päättömältä. Sama kuin tietoturvassa luotetaan pelkkään ip-osoitteeseen. Ehkä olisi aika päästä sovellustasolle tai löytyää käyttäjä jollain muulla tavoin. Käyttäjän tunnistaminen ei ole verkon tai verkkoprotokollan tehtävä.

Internetin energiankulutusta selvitetään ja kulutuksen vähentämiseen etsitään ratkaisuja. Apnicin blogissa listataan IETF:n saavutuksia tällä saralla. Mielenkiintoinen konsepti on energiaohjautuvat ohjauskerrokset. Jo 2013 aloitettu ideointi on nyt neljännellä kierroksella. Tavoitteena on ohjata verkon  toimintaa energiankulutuksen optimoimiseksi esim. kapasiteettia vähentämällä, venyttämällä reittejä pidemmille ja kustannustehokkaammille reiteille, poistamalla rinnakkaisia varareittejä käytöstä ja laittamalla linkkejä lyhyeksi ajaksi mikrouneen.

Tapahtumat

RIPE85:ssa ja ARIN50:ssä käsiteltiin internet-asioita.

Open Compute Projectin vuosikokoontumisen OCP Global Summitin videoilla puhutaan palvelin- ja konesaliasioista.

Kuukauden valeuutinen

Varo internetin itseoppineita wannabe-tuutoreita. Harsha Vardhan opasti netissä ip-osoitteen saloihin: osoitteen ensimmäinen oktetti kuvaa maata, toinen osavaltiota, kolmas ISP:tä ja neljäs laitetta.  Tieto oli kuulemma peräisin intialaisen firman videolta ja Harsha oli itse vasta aloittelija vailla parempaa tietoa. Näin se harmitonkin väärä tieto lähtee leviämään. Harsha kuitenkin kiitti oikaisusta, myönsi olevansa väärässä ja poisti postauksensa. Välillä tuntuu, että somen verkkoyhteisö voi olla aika julma ja tuomitseva, tai ainakin kovasanainen, tai ainakin jotkut persoonat.

Leave a Reply