[FI] Tietoliikennealan katsaus 2023-02

Posted byAntti LeimioPosted inFI ToimialakatsausTags:,

MENNYTTÄ JA TAPAHTUNUTTA

Microsoftin tammikuun reitityshäiriön syitä on avattu perusteellisemmassa selvityksessä (25.1. VSG1-B90). Siitä selviää, että kapasiteettimuutoksen yhteydessä Madridissa reitittimiin tehtiin huonosti varmistettu ja testattu ip-osoitemuutos. Reitittimen oli tarkoitus liittyä mukaan IGP:hen, mutta ajetut komennot aiheuttivat IGP-tietokantojen tyhjentymisen. Yhdellä kolmesta käytetystä laitevalmistajasta tyhjennys tehdään kaikille IGP-naapureille, mistä seurasi reititiystaulujen uudelleenlaskeminen, joka lähti vyörymään eteenpäin reitittimillä. Muutoksia pystyy Microsoftilla tekemään vain yhdelle laitteelle kerralla, mutta vaikutus levisikin nyt hallitsemattomasti koko verkkoon. Verkon koon takia IGP:n ja BGP:n reittien laskeminen kesti 1 h 40 min. Ongelma huomattiin valvonnasta viisi minuttia muutoksen jälkeen, mutta tilannetta pahensi se, että muutoksen tekijä ei ollut tietoinen aiheuttamastaan ongelmasta. Hän teki vielä toisen muutoksen toiselle reitittimelle 33 minuutin päästä. Tästä syntyi toinen ongelmien aalto. Prosessi siis petti ja pieni ongelma lähti vyörymään hallitsemattomasti. Monivalmistajaympäristö on vaikea hallita, koska laitteiden ominaisuuksissa ja toiminnassa on eroja, jotka pitää osata huomioida.

Kentikin blogissa kerrotaan miten häiriö näkyi heidän valvontatuotteessaan. Synteettinen valvonta vilkkui kuin joulukuusi punaisena ja vihreänä. Viivettä ja pakettihäviötä näkyi vaihtelevasti eri agenteilla. Tästä ei voinut paljon päätellä ongelman syystä. Netflow-näkymässä Microsoftin liikennemäärä tippui kahdessa erässä. Liikenne siirtyi toisille reiteille joko transit-linkeille tai Aasian peerauskumppaneille. BGP-näkymässä vahvistui sama mitä Netflow kertoi. Microsoftin 370 prefixistä ongelmia ei näkynyt 104:ssä. Muut prefixit olivatkin sitten hyvin epävakaita, mistä voi päätellä, että jotain oli mennyt pieleen Microsoftin verkon sisällä. BGP-kaappausnäkymässä Microsoftin AS8075 näytti mainostavan uusia muilta kaapattuja prefixejä. Ongelma näytti kohdistuvan australialaiseen Vocusiin, jonka kansa Microsoftilla on ollut aiemminkin ongelmia. Kentik raportoi ongelman heille selvitettäväksi. Koko tämä Microsoftin häiriö toistaa historiallisia Facebookin ja Rogersin isoja katkoja, joissa BGP:n epävakaus on seuraus, ei syy.

Häiriölistaan liittyi myös italiainen TIM, jonka ulkomaan yhteydet katkesivat laajasti 5.2. Noin joka kolmas italialainen menetti internet-yhteytensä ja TIM:n kotimaan liikennemääräkin tippui 26%:iin normaalista. Myös nimipalvelussa oli ongelmia. Internet Society ihmettelee ongelman syitä. TIM ostaa ulkomaan kapasiteetin vain Sparklelta. Hajautuksen puuttuessa kaapelivika katkaisi näin kaikki yhteydet ulospäin. Historiassa kymmenen vuotta sitten valtionyhtiö TIM on ollut pakotettu peeraamaan kaikkien italialaisoperaattoreiden kanssa, mutta ajan myötä melkein kaikki peeraukset on purettu.  Toinen kummallisuus on, että TIM ei peeraa paikallisissa yhdysliikennepisteissä, vaan liikenne kiertää Frankfurtin kautta Milanoon. Korona-aikana TIM kuitenkin peeraili kaikkien halukkaiden kanssa ja liittyi Torinon TOP-IX:ään. Mutta nämäkin järjestelyt purettiin 2021 vuoden lopussa pois.

Lufthansalla oli isoja ongelmia Frankfurtin lentokentällä kun rautatien rakentamisen yhteydessä urakoitsija katkaisti Deutsche Telekomin kuitunipun.

Catchpoint listaa tällaisten isojen internet-ongelmien opit käyttäjille. Internetistä ja pilvestä on tullut uusi yritysverkko, joka keskittyy vahvasti isoille toimijoille. Siksi ongelmatkin ovat isoja. Monimutkaisuus vaikeuttaa ongelmien selvittämistä ja pidentää palautumisaikaa. Yritykset jäävät palvelutoimittajien armoille. Siksipä olisi syytä valvoa merkityksellisiä asioita ja hahmotella oma internet-pinonsa, jossa yritys toimii. Välillisiä ja yllättäviäkin vaikutuksia on syytä arvioida, mitä tehdä jos esim. joku pilvipalvelu ei toimi? Automatisointi auttaa ongelmapinnan pienentämisessä ja ongelmien varalta kannattaa harjoitella.

Tietoturvaongelmissa Vmwaren parin vuoden takaiset haavoittuvuudet nousivat esiin kun niitä hyväksikäytettiin laajasti ESXiArgs-hyökkäyskampanjassa. Isku on kohdistunut Eurooppaan, erityisesti Ranskaan ja Italiaan, mutta myös Suomessa on ainakin muutamia tapauksia. Tapaus lienee toistaiseksi laajin ei-Windows-lunnashaittaohjelma. Censys löysi yli 1900 haavoittuvaa ESXi-palvelinta lähinnä OVH:n ja Hetznerin alustoilta. Rapid7 näki lähes 19000 haavoittuvaa palvelinta internetissä. Vuokratun rautapalvelimien päälle voi itse asentaa mitä haluaa ja avata palveluita nettiin, mutta OVH on ainakin sulkenut kaikilta portin 427 ulos pitääkseen tilanteen jotenkin hallinnassa. Tosin joillakin palveluntarjoajilla on myös päivittämättömiä ja avoimia palvelimia tarjonnassaan. ESXiArgs-lunnasohjelmaan löytyi purkukoodi, jonka CISA julkaisi. Mutta ilmeisesti myös hyökkääjä muutti haittaohjelmaa samalla estääkseen salauksen purkamisen.

Muita hyökkäyksien uhreja ovat olleet mm. A10 Networks, ja TV-kanavat Dish Network ja Virgin Media Irlannissa. Domain-rekisteri Namecheap korkattiin ja sen kautta lähetettiin roskapostia. Toisella rekisterillä Godaddyllä huomattiin haittaohjelma, joka ohjasi hostattuja webbisivuja vääriin paikkoihin.

Esimerkkiä päivitysten nopeudesta ja prosessista antaa Cloudflare. Bug Bounty ohjelmasta raportoitu haavoittuvuus korjattiin vuorokaudessa ja vietiin tuotantoon kahdessa päivässä. Parhaimmillaan työskentely oli jopa minuuttipeliä. Toisenlainen historia on DNS-haavoittuvuuksilla, joita Paul Vixie ja Dan Kaminsky korjasivat 2008. Perustavanlaatuiseen suunnitteluvirheeseen tehtiin nopea korjaus ja 2010 saatiin pysyvä ratkaisu DNSSEC:n myötä. Vixie oli itse kehittämässä DNS:ää Berkeleyssä kun BSD:hen päätettiin ottaa uusi DNS-protokolla käyttöön. Silloinen julkaisutapa oli työläs ja siksi DNS päätettiin laittaa jakoon patchinä Usenet-ryhmien kautta. Koodia forkittiin sulautettujen laitteiden käyttöön paljon ja samoihin aikoihin internetin käyttö räjähti. Niinpä 1986 julkaistun DNS-koodin ties kuinka moneen kertaa forkattua versiota pyörii edelleen monissa laitteissa. Vixien antaa myös ohjeita miten koodia pitäisi tehdä. Jos ei ole varaa näihin toimiin, ei ole varaa avoimeen koodiin.

Cloudflare julkisti jälleen ennätyksellisen DDoS-hyökkäyksen, jonka voima oli 71 Mrps. Hyökkäys kohdistui hostattuihin HTTP/2-webbipalvelimiin ja lähti yli 30000 ip-osoitteesta useista eri pilvipalveluista. Pilvi on siis nyt mukana hyökkäyksissä ja ulospäin menevää liikennettä on syytä  tarkkailla. Cloudflare tarjoaa tähän omat työkalunsa. Azuren vuosittaisesta DDoS-raportista selviää, että pilveen päin tulee 1435 hyökkäystä päivässä. Raportissa annetaan myös suojausneuvoja. Tälle vuodelle on luvassa häiritseviä iskuja, joilla peitetään kehittyneempiä hyökkäyksiä. Uusia IoT-bottiverkkoja tulee ja myös tilien kaappaukset ovat nousussa. Radware on löytänyt uuden Passion botnetin, joka on liitetty Venäjään. Botnetin käytettiin tammikuun aikana Suomeenkin kohdistuneisiin terveydenhuoltoalan iskuihin. DDoS-hyökkäyksiä ovat saaneet osakseen mm. Tor-verkko ja Mastodon.

Muuten internet-liikennemääräennätyksiä on tehty Briteissä, jossa 15.2. keskiviikkoillan futispelit yhdistyivät Call of Dutyn julkaisuun.  Talktalk näki huippuliikenteen 10,25 Tbps, Virgin Media 24,77 Tbps, BT 29.11 Tbps ja LINX 7,87 Tbps.

Ylen MOT on tutkinut Venäjän GPS-häirintää Suomessa. Norjassa häirinnästä on tullut normaalia, joulukuussa sitä tapahtui lähes joka päivä ja vuoden aikana 119 päivänä. Suomen häirintäpaikat on jäljitetty Venäjän elektronisen sodankäynnin tukikohtiin, jotka osuvat sopivasti häiriöalueille. Suomeen rahdattavat laitteistot tai satelliittihäirintä tuskin tulevat kyseeseen. Motiivina voi olla poliittinen syy, laitteiden testaus naapuriin tai ihan vaan kiusanteko. Suomessa häiriöitä oli viime vuonna 64 päivänä, pääosin Pohjois-Suomessa. Häirintä on vaarallista laiva- ja lentoliikenteelle, joten mikseivät viranomaiset tee mitään ja Traficom salaa häiriöraportit? Viranomaiset selittävät, että kyse on hetkellisistä häiriöistä, joita ei saa kiinni. Edes tekijää ei nimetä ja aiheesta mieluummin vaietaan. Traficomin mukaan asia on Suomen sisäinen ja nykytilanteessa herkkä aihe, mitä se sitten tarkoittaakaan…

Sekoia vetää yhteen vuoden sota-ajan kybertapahtumat. Se on myös tutkinut Venäjän tekemän viime vuotisen Viasat-iskun ja analyysissä avataan asiaa tarkemmin. Mahdollisia hallintarajapinnan protokollia satelliittiterminaaleissa olivat SSH, SNMP ja CWMP. Todennäköinen hyökkäysvektori on ollut SSH, jota on edeltänyt pääsy hallintaan käytettyyn SDWAN-verkkoon.

Starlink on suututtanut ukrainalaiset yrittämällä estää liittymien käytön sotadroneissa. Droneista ja Starlinkistä on tullut  Ukrainalle elintärkeitä työkaluja tiedustelukäytössä. Palvelua ei ole tarkoitettu hyökkäyskäyttöön ja Ukraina on väärinkäyttänyt yhteyksiä, sanoo Starlinkin edustaja. Venäjä on rekisteröinyt valtaamiensa alueiden ukrainalaisia ip-osoitteita itselleen. Tällä voi olla vaikutusta geo-palveluiden toimintaan. Krimin tilanne näyttää, että alueen ip-osoitteiden geo-tiedoista ei voi päätellä kummalle maalle alueen verkot kuuluvat.

Historiaosiossa kerrotaan miten Hayes-koodeista tuli modeemien ohjausstandardi 90-luvulla. Puhelinverkko POTS on ollut olemassa 1800-luvun lopulta. 70-luvulla yleistä oli käyttää akustista liitäntään tietokoneen ja modeemin kytkemiseen. Akustinen liitin oli oikeastaan suunniteltu kiertämään puhelinjärjestelmän vieraiden laitteiden rajoituksia. Modulaarinen RJ11-liitin syntyi 70-luvulla, ja sitä käytettiin isoissa koneissa. Mikrotietokoneet eivät olleet standardoituja. Jokseenkin vakioitu RS-232 -liitin kuitenkin koneista yleensä löytyi ja videopeleistä omaksuttiin käyttöön D-liitin. 80- ja 90-luvuilla alkoi modeemien nousu. AT&T:llä työskennellyt Dennis Hayes halusi aloittaa oman modeemituotannon. Ensimmäiset modeemit olivat tietokoneiden sisällä väylässä kiinni. Ensimmäisen vuoden modeemituotanto tuotti yritykselle 125000 dollaria ja siitä liiketoiminta lähti käyntiin. Moodemit osuivat aikaan, jolloin tietokoneliikkeissä kaivattiin myytävää ja samalla käyttäjät halusivat yhteyksiä. Sisäiset tietokonekohtaiset modeemit eivät olleet kuitenkaan oikea ratkaisu. Piti rakentaa erillinen oheislaite, joka kytketään tietokoneen standardiporttiin RS-232. Ongelma oli kuitenkin standardoimattomat tietokoneet, joten Hayes kehitteli merkkikielen, jolla tietokone ohjasi modeemia. Modeemissa komentojen tulkintaan tarvittiin mikroprosessori, josta tuli nimi Smartmodem. Hayes oli modeemien de facto -standardi, mutta muitakin yrittäjiä tuli markkinoille: US Robotics, 3com ja Supra. Hayes teki myös monta virhettä hidastellessaan nopeuksien kehityksessä, jättäesssään sisäänrakennetut vaihtoehdot huomiotta ja veikatessaan ISDN:n yleistymistä. Edullinen ja tehokas Supra otti markkinat ja Hayes myytiin Zoom Telephonicsille 1999. Hayes-komentokoodit jäivät elämään. Vielä 2015 AOL:llä oli 2,1 miljoonaa soittosarjan käyttäjää. 2021 määrä oli tippunut muutamaan tuhanteen, mutta vieläkin AOL:ään pääsee modeemilla soittamalla.

Toinen historiapala on NASA:n OV-95 -sukkula, joka on rakennettu aikoinaan kopioksi oikeista sukkuloista tukemaan vianselvitystä maasta käsin. Sukkulassa on 370 km kaapelia, jotka on käsin palmikoitu ja sidottu kangaspaloin. Myös merkinnät on sidottu käsin joka kaapeliin. Näin tärinä ja hankaus ei riko kaapeleita.

Dellin Kat Cosgrove kertoo miten CI/CD-työkalut kehittyivät ajan saatossa. CI-käsite esiintyi jo 1991 Grady Boochin ohjelmointikirjassa. Vuonna 1997 Extreme Programming -liike alkoi julistaa jatkuvan julkaisun ilosanomaa. Ensimmäinen avoimen koodin CD-työkalu Cruisecontrol tuli ulos 2001 ja Jenkins vasta kymmenen vuotta myöhemmin 2011. Jenkinsin myötä alkoi markkinoille tulla muitakin tuotteita. Ikä alkoi kuitenkin painaa alkupään tuotteita ja niistä siirryttiin vähemmän ylläpitoa vaativiin tai hostattaviin palveluihin, kuten CircleCI, TravisCI tai Github Actions. Nyt pilvialustoilla on omat natiivit CI/CD-työkalut, joilla lähes kaiken työnkulun voi automatisoida. Versiopäivityksiä tuskin enää huomaa ja käyttäjällä ei ole mitään syytä edes tietää mikä version on ajossa. Nopeuden lisäksi työkalut tarjoavat nyt näkyvyyttä, jäljitettävyyttä ja tietoturvaa.

Cumulus toi meille disagregaation ja avoimet verkot 2000-luvulla. Hedgehogin Josh Saul, ex-cumuluslainen itsekin, kertaa miten kenttä on kehittynyt parissa kymmenessä vuodessa. Cumuluksen idea oli yhdistää palvelinten suosittu Linux verkkoon ja saada hallintakonseptille yhtenäisyyttä. Whitebox switching oli siihen aikaan hyperskaalajien heiniä ja ne ostivat avointa rautaa Broadcomilta, Marvelilta tai Mellanoxilta. Cumulus pystyi tarjoamaan saman kapasiteetin kuin Cisco, kun rauta oli samaa Broadcomin Tridentiä. Cumulus nähtiin hetken eksistentiaalisena uhkana isoille laitevalmistajille. Cumuluksen taru lähti hyvin käyntiin, mutta sen ongelma oli saada asiakkaita mukaan. Sen aikainen “käännä se päälle”-markkinointi kehotti käyttäjiä laittamaan kaikki verkkolaitteen ominaisuudet päälle tarvitsi niitä tai ei. Sillä sidottiin asiakas kilpailutusvaiheessa, kun konfiguraatiota ei saanut enää helposti käännettyä toisen valmistajan laitteille. Cumuluksellakin piti asiakkaita voittaakseen olla samat ominaisuudet kuin Ciscolla ja Aristalla. Osa oli ihan turhaa ja niistä tuli ei-niin-verkkoystävällisen Linuxin kanssa ongelmia. Cumulus kuitenkin teki työtä ja sai tuotua monia tärkeitä komponentteja avoimiin verkkoihin: Switchd, Ifupdown, SAI, Quagga/FRR ja yleensäkin ideat CLI:n korvaamisesta Ansiblella. Cumulus tuki Broadcomin ja Mellanoxin rautaa. Kun 2020 Nvidia osti Cumuluksen heti Mellanoxin jälkeen, Broadcom veti herneen nenään ja lopetti Cumulukselta SDK:n käytön. Niinpä 90% Cumuluksen tukemasta raudasta tippui pois ja jäljelle jäi vain muutama Mellanoxin malli. Cumulus murtautui läpi kiven, mutta katkaisi samalla oman niskansa. Lopulta kova yritys ei riittänyt erottautumaan pelkästä Linuxista tai perinteisistä valmistajista. Samalla markkina oli liian hidas lähtemään mukaan.

Sonic on nyt ottanut valta-aseman avoimissa verkoissa. Se on suunniteltu kuin moderni sovellus. Hedgehog aikoo nyt tuoda Kubernetes-alustan hyödyt verkkoon. Mike Dvorkin esittelee miten Kubernetes toimii Sonic-fabricin hallintakerroksena. Kubernetes on jo kaikkialla, joten verkko voi ohjautua ja muodostua sen ja sovellusten ehdoilla. Samalla sovellusmaailmasta tutut työkalut tuodaan verkkoon.

Muita esityksiä Linux Foundationin ONE Summitista voi katsella Youtubesta. Mielenkiintoista avoimessa koodissa on myös Zero Trust ja ZTNA. OpenZiti on kokoelma zero trust -ratkaisuja, joihin sisältyy uutena mm. Zrok-jakopalvelu.

FOSDEM’23-konferenssin agendalla on sovelluskehitys ja esityksiä löytyykin todella laajalta alueelta. Esim. kummallisia DNS:n käyttötapoja -esitys kertoo mitä kaikkea luovaa DNS:llä voi tehdä.

Fortinetin julkisen sektorin tietoturvatiistaissa näkemyksiä esittelivät Helenin Heikki Paananen ja Aallon Hannes Päivänsalo. Mukava kuulla välillä konkreettisia asioita yritysmaailmasta.

NANOG87 kokosi mahtavan paketin asiaa verkoista.

Cisco Live saatiin pidettyä pitkästä aikaa Amsterdamissa ja väkeä riitti. Tapahtumasta ei suuria uutisia noussut, mutta Zeus Kerravala vetää omat päätelmänsä Ciscon suunnasta. Appdynamics on vihdoin viiden vuoden jälkeen nostettu jalustalle tuomaan sitä paljon kuulutettua arvoa. CDA-ohjelman kautta Cisco pyrkii vaikuttamaan ja tekemään yhteistyötä valtioiden digitalisoitumiseen puolesta, nyt esim. Rotterdamin sataman IoT-projektissa. Kestävä kehitys ja ekologisuus nousee pinnalle ja Eurooppa näyttää mallia USA:lle. Cisco on nyt lähtenyt avoimemmalle linjalle ja haluaa tehdä yhteistyötä muiden valmistajien kanssa. Tietoturvapuolella on paljon tekemistä. Cisco ei ole pärjännyt edes verkkokärjellä Fortinetiä ja Paloaltoa vastaan.

Packet Pushersin DPU-keskustelu Dellin kanssa selittää kiihdyttämisen teknologiaa.

Tiukkaa tietoturvaa löytyy BRUNCHCON:n esityksistä.

Disobey palasi Kaapelitehtaalle pommin lailla kun kaksi olut-tankkia räjähti Nixun ständin luona parvekkeella. Muutama ihminen sai vammoja ja ikkunoita rikkoutui. Olut onkin olennainen osa katu-uskottavaa tapahtumaa, joka on nyt kasvanut isoksi 1700 osallistujalla. Ensi vuosi näyttää mihin suuntaan ja paikkaan tapahtuma menee.

NYKYPÄIVÄN MENOA…

Mobiiliverkot

5G verkon viipalointi on paljon esillä, mutta onko siitä oikeasti hyötyä? Verkkoahan on virtualisoitu ja liikennettä multipleksattu ja priorisoitu kautta aikojen. 5G:ssä suurimmat edistykset tapahtuvat radioverkossa. Radioverkon ajoitus onkin viipaloinnin olennaisin osa. Viipaloinnin ratkaisu on vanha ja tuttu, se toimii kuin “langaton hypervisor” jakaen resursseja haluttujen parametrien mukaan. Näin voidaan taata radiotiellä tietty palvelunlaatu kullekin virtuaaliverkolle. Tosin radiotie on fyysisesti aina epävarma häiriöiden takia, mutta oikeat taajuudet ovat olennaisia toimivuuden kannalta. Käyttökohteista teollisuusverkot tuntuvat sopivilta viipaloinnille. Todellinen hyöty jää vielä nähtäväksi. Mielenkiintoista kyllä, wifi6-standardissa on osin samoja resurssialloikointitekniikoita.

Päästä päähän viipalointi vaatii tuen myös päätelaitteelta. Ericsson ja FarEasTone ovat demonneet ensimmäistä kertaa viipalointia Andoid-laitteilla. Adroidissa tuki on ollut jo yli vuoden ja tässä vaiheessa se on jotakuinkin korvaaja yrityksen omille APN:lle. Tietyissä käyttötarkoituksissa viipaloinnista voi tulla eräänlainen mobiili-vpn. Ericsson, Intel ja Microsoft ovat taas esitelleet viipalointia Windows-koneella.

5G on hiljalleen siirtymässä toiseen vaiheeseen. 5G Advaced eli 3GPP release 18 parantaa laitteiden MIMO-yhteyksiä ja paikannustarkkuutta. Teollisuuskäyttöön tulee uusi IoT-tekniikka Redcap. Uuden standardin päätelaitteita alkaa tulla markkinoille ensi vuoden puolella. 5G on noussut nyt yleisimmäksi radiotekniikaksi ohi 4G:n Yole Developpementin markkinatutkimuksessa. 3G on katoamassa markkinoilta kokonaan ja parin vuoden sisällä myös 4G alkaa hiipua. Puhelimien myynti on nyt kokonaisuudessan kääntymässä laskuun. RF-moduulien markkinoita johtavat tasaisesti Broadcom ja Qualcomm.

Koska mobiiliverkko on siirtynyt enemmän ohjelmallisuuteen, myös ETSI on liikahtanut standardointityössä softakeskeisempään malliin. Tarkoituksena on parantaa standardointia aikaisemmilla yhteistyö- ja testauskäytännöillä, käytännön iteratiivisilla kokeiluilla ja työkaluilla, sekä nopeammalla palauteluupilla. Standardointi voi onnistua vain jos se vastaa markkinoiden kysyntään ja standardille on olemassa tarve. Standardeja ei kannata huvikseen keksiä. ETSI:n tiedote ei todennäköisesti muuta toimintaa hetkessä, vaan tavoite voi olla 6G-ajassa.

Elisa on testannut älykästä dynaamista virranhallintaa 200 tukiasemassa. DES-hankkeessa on tarkoitus tasapainottaa Fingridin sähköverkkoa muuttuvien tilanteiden varalta niin, että tukiasemien akut toimivat hajautettuna virtalähteenä 150 MWh:n kapasiteetilla. Hanke on Euroopan suurin ja siihen on saatu 3,9 miljoonan euron tuki valtiolta, joka ei kuitenkaan ollut kuin osa siitä mitä Elisa haki. Joissakin arvioissa koko hankkeen hinnaksi on laskettu noin 30 miljoonaa euroa. Tukiasemien vanhoja lyijyakkuja täytyy vaihtaa uusiin lition-ioni -akkuihin. Koko 150  MWh:n kapasiteetti vaatii reilun 2000 tukiaseman osallistumista.

Business Finland on julkistanut uuden 6G Bridge -ohjelman, jonka tavoitteena on pitää Suomi mobiilitekniikan kärjessä ja jatkaa edellisten ohjelmien työtä. Rahaa ohjelmaan laitetaan 300 miljoonaa euroa ja se kestää vuoden 2026 loppuun.

Markkinat

Nokia on uudistanut ilmettä ja strategiaansa. Kuuden pilarin strategiaan kuuluu markkinaosuuden kasvatus, laajentuminen, teknologinen johtoasema ja vastuullisuus. Panostus on erityisesti yrityspuolelle, koska operaattorimarkkina ei kasva. Yritysostot eivät kuitenkaan ole ensisijainen tie. Parin vuoden takaiset suunnitellut henkilöstövähennykset kutistuivat kun liikevaihto lähti parantumaan. Hallinnosta on vähennetty ja tuotekehitystä lisätty. Parissa vuodessa Suomeen on palkattu 1200 työntekijää, joista puolet tulee ulkomailta. Suomessa työntekijöitä on nyt yli 7000. Nokialla on edelleen Kiinassa lähes 10000 työntekijää, mutta niistä Nokia ei pääse tai edes halua eroon. Kiina-riippuvuutta täytyy vain hallita.

Hilpeyttä on herättänyt Nokia uusi logo, jossa oli pakko tehdä kipeitä leikkauksia ja palata retroon 90-luvun räikeään liukuvärjättyyn värimaailmaan. Ehkä se kuvaa tavoiteltua vihreää siirtymää tai sitten ei osattu valita väriä, joten laitettiin kaikki. Logosta on erilaisia versioita eri taustoilla. Reddit/Suomesta löytyy taas näitä antoisia kommentteja. Logoa voi kuvailla renkaaksi, joka on vierinyt ramppia alas ja puhkeaa kohta terävään piikkiin. N-kirjaimen mäki kuvaa varmaan Nokian kosken virtausta. Logo on kuin öljyvuoto lätäkössä ja ajaton sininen lähes 60-vuotinen klassikko vaihtui nopeasti vanhenevaan pöhinähuminaan. Leikatut kirjaimet antavat tulkinnan varaa mitä logossa oikeastaan lukee: AOCIA, AOXIA, AOKIA, NOCIA vai mitä…

Ruotsissa Ericsson vähentää 14000 työntekijästä 10% ja maksaa reilut 200 miljoonan dollarin sopimussakot USA:n oikeusministeriölle Irakin lahjusskandaalin rikkomuksista. Sekä Nokia että Ericsson siirtävät tuotantoaan Intiaan taatakseen vaihtoehdon Kiinalle. Intian hallituksen insentiiviohjelma on purrut ja mukaan on lähtenyt myös Samsung. Dish taistelee telco-mafiaa vastaan rakentamalla omia O-RAN -yhteensopivia tukiasemia entisessä digiboksitehtaassa. Rautana käytetään tavallisia Dellin palvelimia. Samaa tekee Rakuten Japanissa. O-RAN:n avulla Dish voi paremmin hyötykäyttää taajuuksia. Pohoismaalaisille valmistajille Dave Mayo lähettää terveisiä, että on joutunut jatkuvasti pettymään lupauksiin tuotteiden taajuusominaisuuksien laajennuksista.

5G-sukupolvessa siirrytään kauden loppupuolelle, joka on halventuneiden hintojen ja volyymimuutosten aikaa. Mobile Expertsin ennusteissa RAN-investoinnit alkavat tippua seuraavien vuosien aikana, kunnes 6G alkaa vuorostaan vaikuttaa. Samaan aikaan vaikuttavat 5G:n uudet ulottuvuudet, ohjelmallisuus ja privaattiverkot, jotka tasaavat luonnollista markkinan hiipumista. Kiinan ja muun maailman markkinat ovat nyt eriytyneet, kun Kiinassa rakennetaan valtion tavoitetta kovalla vauhdilla eteenpäin ja muualla myynti hiipuu. Operaattorien Capex-ennusteet eivät kovin hyvin kerro markkinoista, joten ennustukseen käytetään komponenttivalmistajien tilastoja, joista voi jopa taajuusalueiden mukaan päätellä mihin markkinalle laitteet menevät. Ericsson on edelleen markkinajohtoja hiukan Nokia edellä. Huawei seuraa pitkällä perässä.

Operaattorien trendeistä kertoo Arelionin evankelista Mattias Fridström. Telegeographyn podcastissa keskustellaan aiheesta lisää. Tier-1 -operaattorille yritykset ovat tulleet yhä enemmän mukaan perinteisten operaattoriasiakkaiden sekaan. Pilvi ja tietoturva lisäävät yritysmyyntiä. Yritykset ovat isoille operaattoreille myös uusi maailma, jossa ne ovat vähän ihmeissään. Lisäksi operaattori-infra joutuu nyt uusien kyberuhkien ja sabotaasien kohteeksi. Kustannuspaine on kova kun bittihinta laskee, liikenne kasvaa ja kustannukset nousevat. Optinen verkko on esimerkki vanhasta jähmeästä maailmasta, jolla on lukittu operaattori tietyn valmistajan tuotteisiin ja toimintamalleihin. Optisella puolella tarvitaan uutta hinnoittelupolitiikkaa ja operointimallien muutosta. Avoimet ratkaisut ja ip-konvergenssi ovat viemässä asiaa hiljalleen eteenpäin. Kovia teknisiä osaajia on vaikea löytää, mutta erityinen puute on talousosaamisessa, jota tarvittaisiin ymmärtämään liikenteen mittausta, laskutusta ja yleensäkin bittien muuntamista tuloiksi. Teliasta irtautumisen jälkeen Arelionilla on ollut kova homma rakentaa konserniin jääneet toiminnot itselleen.

Nettineutraliteettiin ottaa kantaa nyt Alankomaiden hallitus. Operaattorit ovat selvästi valehdelleet yrittäessään vaikuttaa yleisiin asenteisiin ja päättäjiin. Päätösten tulee perustua faktoihin ja niitä ei nyt ole saatu, ainakaan operaattoreilta itseltään. Oxeran tutkimuksen mukaan verkkomaksut aiheuttaisivat todellista haittaa Euroopan internet-ekosysteemille ja käyttäjille, koska lopulta kustannukset valuisivat kuitenkin käyttäjille tavalla tai toisella. Ranskalaisen pienemmän operaattorin edustaja kuvaa hyvin tilannetta Ranskassa. Totuushan on, että teknologiajätit kyllä rahoittavat internet-infraa ja käyttäjät maksavat palveluista. Digitalisaatiota on vaikea rakentaa epävarman ekosysteemin päälle. Etelä-Ranskassa Aix-Marseillen alueesta on tullut kymmenessä vuodessa maailman suurimpia internetin kohtauspaikkoja. Se ei ole noussut operaattorien avulla, vaan Interxionin ja Telehousen perustamien konesalien ja merikaapelien vuoksi. Merikaapelit taas usein ovat teknologiajättien investointeja. Vaikutus on heijastunut koko rannikolle Montpellieristä Nizzaan. Etelä-Ranskan konesaleissa kohtaavat Euroopan, Afrikan ja Aasian kolme miljardia käyttäjää. Investoinnit ovat lähteneet paikallisista aloitteista ja konesalien rakentamiseen on yhdistetty myös digiputkimiesten koulutus ja työpaikat. Pariisi on toinen Ranskan internet-keskittymä, joten Ranska on Euroopan verkottuneimpia maita. Menestys on tullut kansainvälisten teknologiajättien kautta, joita kannattaa rohkaista investoimaan ja osallistumaan paikalliseen toimintaan enemmän. Operaattorit eivät siihen selvästi kykene.

Uusi Telegeographyn merikaapelikartta on julkaistu. Kartalla on nyt 529 kaapelia ja 1444 rantautumispaikkaa.

Rikkaiden miesten avaruuskisa kovenee. Sekavassa ja laajavaikutteisessa kuviossa Applen satellittipalveluntarjoaja Globalstar on rahoitusvaikeuksissa Echostarin takaaman velkansa kanssa. Velka estää Applen 450 miljoonan dollarin investointia Globalstariin totetumasta. Taustalla kytee Echostarin ja Applen eli Charlie Ergenin ja Tim Cookin riita. Applen satelliittipalvelun käynnistyttyä jotain piti tapahtua. Nyt kysymys on mitä Ergen tekee: ostaako hän vai Apple Globalstarin? Myös Dish ja Applen potentiaalinen 5G-kumppanuus sen kanssa vaikuttaa kuvioon. Vaikutus voi ulottua myös Starlinkiin, jos se lähtee tavoittelemaan omia taajuuksia ostamalla Omnispacen tai Ligadon. Viasat on ilmoittanut lähtevänsä mukaan satelliittikisaan vähän eri kärjellä eli tavoitteena tarjota hätäviestejä monipuolisempia satelliittiyhteyksiä suoraan puhelimeen. Uusilla tulijoilla on edessä FCC:n hyväksynnän hidaste, joka kestää keskimäärin 2,5 vuotta. Amazonin Kuiper on saanut vihdoin FCC:ltä hyväksynnän reilun 3000 satelliitin laukaisulle, sen jälkeen kun kilpailijat valittivat sen satelliittien käytöstäpoistoprosessin puutteista. Samsung on päättänyt jättää satelliittiyhteyden pois lippulaivapuhelimestaan S23:sta, koska ominaisuudet ovat vielä liian suppeita.

Pilvi on osoittautunut monelle kalliimmaksi kuin luultiin. Yksi suuri ongelma on kaiken siirtäminen pilveen. Monet yritykset uskoivat tarinan, joka perustui siihen että pilvi olisi aina halvempi vaihtoehto. Sitten yritykset tajusivat ottaa pilvestä ketteryys- ja skaalautuvuushyödyt, ja jättää kalliit osat omiin konesaleihin. Sovellukset alkoivat eriytyä kun frontend kehittyi pilvessä ja backend konesalissa. Ketterät pilvinatiivit palvelut voi kyllä toteuttaa omaan infraankin, enemmän on kyse sovelluksen rakenteesta ja toiminnasta. Äärimmäinen pilvisovellus on dynaaminen mikropalvelu ja toisessa päässä asteikkoa on monoliittinen sovellus. Keskelle jää modulaarinen isommista komponenteista kasattu ohjelmisto. Jokaisella sovelluskomponentilla on pilvessä ajohinta, jota harvemmin ajatellaan sovellusta tehdessä tai valitessa. Optimaalinen suoritus vaikuttaa olennaisesti pilvikustannuksiin. Suoritus on eri asia kuin kehitys. Molemmat osuudet pitäisi saada optimoitua, jotta sovellus toimisi kokonaisuutena hyvin.

Isoissa yrityksissä raha ei ole yleensä ongelma, vaan se kuka sitä saa käyttää ja mihin. Infran kehitys koskettaa yleensä koko yritystä ja projektia on vaikea sitoa liiketoimintayksiköihin tai tavoitteisiin. Siispä kehitysasiat valuvat eteenpäin, kunnes sattuu jotain katastrofaalista.

NaaS on leviämässä yrityksiin niin, että yli 90% käyttäisi palvelua 2030 mennessä. Mutta yritysten suurin epäilys on NaaS:n kustannus. Markkina on nyt jumissa ja valmistajien pitää tehdä jotain. Koska NaaS:n hinnoittelu perustuu yleensä käyttöön ja käyttö on dynaamista, kustannuksetkin elävät kuten pilvessä. Pilvinatiivit yritykset, jotka ovat tottuneet uusiin hinnoittelumalleihin, voivat siis olla helpoimpia omaksujia verkkopalvelulle. Pilvinatiivi toimija tuskin hylkää pilvinatiivin verkkopalvelun vain siksi, että siinä on käytön mukainen hinnoittelu. Sitä paitsi käytön mukainen hinnoittelu on hyvä hyvin purskeisessa liikenteessä, jossa pitää varautua piikkeihin. NaaS on terminä ja palveluna epäselvä, mikä luo epävarmuutta ostajissa. Määrittelemätön palvelu ja ominaisuudet ovatkin oikeasti suurin este käytön aloittamiselle. Kustannukset saattavat pelottaa, mutta välttämättä tietyllä valmistajalla ei edes ole käytön mukaista hinnoittelua. Valmistajan pitää pystyä ilmaisemaan palvelulupaus selkeästi.

Juniper on tehnyt muutaman NaaS-palveluihin liittyvän julkistuksen, joilla voi olla merkitystä sen markkina-asemalle. CN2 on sertifioitu Openshiftiin ja SD-Branch -konseptissa SSR-tunnelointi on liitetty Mist-hallintaan. NaaS ei voilla pelkkä internet ja vpn, vaan kokonaisuudessa ovat mukana myös pilvi, sovellukset, sovelluskehitys, hallinta, jne. Näyttää, että Juniper rakentaa modernia supertuotetta, jolla on laajat ominaisuudet, ja joka osuu hyvin NaaS-malliin. Lisäksi Juniperin metro-tarina vastaa pilven reunan hajautumiseen ja Apstralla saattaa olla siihen hallinta- ja automatisointiratkaisu. Juniper seisoo nyt vahvasti historian suurimman verkkomullistuksen reunalla ja saattaa olla hieman yllättäen pelikentän muokkaaja.

Extreme on päivittänyt SD-WAN -tuotettaan tukemaan Fabric Connect -hallintaa, jolla saa rakennettua verkon eri saittien välille automaattisesti. Fabric Connect on hyödyllinen isoissa kampusverkoissa, mutta samalla myös pienemmät SD-WAN -etäpaikat saa automaattisesti konfiguroitua mukaan fabriciin. Taloudellisesti Extreme vetäisi viimeisellä neljänneksellä ennätystuloksen. Muutenkin tulos on ollut tasaisen nousujohteinen 11 kvarttaalia peräkkäin.

Uusi FortiSP5-ASIC tuo lisää tehoa salaukseen ja vähentää virrankulutusta. Se tulee vauhdittamaan pienen ja keskisarjan Fortigate-palomuureja. Se on palomuurauksessa ja VPN:ssä 17-32 kertaa tehokkaampi kuin kilpailijat keskimäärin. Raudalla kiihdytettäviä sovelluksia on nyt tuplasti eli 14 kpl. Oman ARM-pohjainen ASIC:n avulla Fortinet on saavuttanut 48% markkina-aseman, jota muiden on enää vaikea lähteä haastamaan omilla raudoilla. Fortillekin ASIC-kehitys on kova ja hidas investointi. Uuden ASIC:n käyttöönottoon tuotteessa menee 3-6 kk, mutta suuret toimitusmäärät laskevat kuluja ja tuotteiden hintaa pystytään painamaan alas. SoC-tyyppinen ratkaisu säästää monia erillisiä komponentteja ja siitä saadaan suurta toimitusketjuetua. Fortinet on myös panostanut voimalla toimitusketjun hajauttamiseen ja siirtynyt lähes kaikissa komponenteissa kahteen toimittajaan. Se on nyt toimitusketjun osalta hyvässä tilanteessa.

Arrcus on saanut softareitittimelleen 50 miljoonan dollarin rahoituksen. Kiinnostavaa on, että investointia johtaa Prosperity7, jonka taustalla on Saudien Aramco. Siitä on tulossa Arrcuksen strateginen investoija. Cisco aikoo ostaa Valtixin, joka on monipilven turvaamiseen erikoistunut startup. Cisco on ollut Valtixin strateginen investoija jo aiemmin. IBM puolestaan ostaa DNS-palveluntarjojan NS1:n. NS1 on tarjonnut Netboxille tukea ja kehitystä Netboxlabsin kautta, joka nyt pullahtaa omaksi yrityksekseen saaden kuitenkin taustatukea IBM:ltä.

Suomen IBM luopuu ikonisesta Munkkiniemen toimitalosta ja muuttaa näkyvämmälle paikalle Hakaniemen Lyyraan. Historiikki kertoo, että IBM:llä oli tarve toimitalolle jo 60-luvun lopussa. Ideointimatkoja tehtiin muihin Euroopan toimipaikkoihin ja oman talon paikkaa katseltiin Lauttasaaresta, Tapiolasta, Karhusaaresta ja Keilaniemestä. Munkkiniemen talon suunnittelivat Osmo Lappo ja Juhani Westerholm. Rakentaminen viivästyi ja se valmistui vasta 1979. Toisen vaiheen lisäosa rakennettiin 1987. Tietokuja-katu on saanut nimen IBM:ltä, ja kadun alkupäässä on toinen ikoninen kohde 1995 valmistunut Carrols, nykyinen Hesburger.

Intelillä menee heikosti ja suunta näyttää jatkossa vielä huonommalta. Tilannetta on kuvattu historialliseksi romahdukseksi kun 8 miljardia dollaria pyyhkiytyi pois markkina-arvosta tulosjulkistuksen yhteydessä. Tulos oli 3 miljardia odotettua pienempi, konesalimyynnin kasvu on heikkoa ja uudet investoinnit tehtaisiin ja kumppanivalmistajiin ovat vaikeuksissa. AMD:llä on nyt paremmat prosessorit ja se tulee ohittamaan markkina-arvossa Intelin jälleen kerran. ARM ahdistelee toiselta kulmalta. Seuraavat kaksi vuotta ovat rumaa aikaa Intelille. Sen jälkeen se voi aloittaa uuden tasaväkisen kilpailun AMD:n kanssa. Suuri kysymys on mitä tapahtuu palvelinmarkkinalle. Hyperskaalaajien ostot ovat ajoittaisia, mikä näkyy piikkeinä tuloksessa. Yritysmarkkina on alamaissa. Intel aikoo hyllyttää konesali-Ethernet-kytkimien liiketoiminnan, mutta jatkaa tukea nykyisille Tofino-asiakkaille. Edellinen vaivihkainen lakkautus tapahtui 2019 Omni-Path Infiniband-liiketoiminnalle. Muu kytkinbisnes jatkaa ja Intel uskoo sen tuottavan paremmin. Olisi mukava jos joku ostaisi Barefootin pois Inteliltä, jotta kytkinraudassa säilyisi jonkinlaista kilpailua.

AMD on onnistunut kääntämään suunnan vuoden 2015 päätöksellä palata konesaliliiketoimintaan Epyc-prosessoreillaan ja myöhemmin ostamalla Xilinxin FPGA-liiketoiminnan. AMD:llä on samat ongelmat kuin Intelillä, mutta sillä on selkeä roadmap, jota se seuraa. Konesali oli ensimmäistä kertaa paras liikevaihdon tuoja ja sulautettu liiketoiminta Xilinxin johdolla jatkaa kasvua saavuttaen ennen pitkää konesali- ja peliliiketoiminnat. Konesalimenestys suojaa AMD:tä syöksyvältä PC-markkinalta.

AtNorth rakentaa Espoon Sinimäentielle sen kolmannen konesalin Suomessa. Kapasiteetti on 15 MW ja se tulee käyttöön ensi vuonna.

Valtio on päivittämässä julkishallinnon pilvilinjauksiaan, joita on valmisteltu yhdessä Valtorin kanssa. Tavoitteena on pilvi ensin -periaate ja muutenkin pilvipalveluiden normalisoiminen. Ehdotus lähtee nyt lausuntokierrokselle.

Norjalainen DNV ostaa Nixun. Noin 98 miljoonan euron tarjous markkina-arvoltaan 60 miljoonan Nixusta oli niin hyvä, että myynti hyväksyttiin yksimielisesti. Uusi toimitusjohtaja Teemu Salmi on nähtävästi viritellyt kauppaa ja aikoo viedä Nixua isoille kentille. DNV on luokitus- ja  riskienhallintayhtiö, ei varsinainen kyberyritys. Yrityksen omistaa Det Norske Veritas -säätiö ja sillä on toimintaa yli sadassa maassa eri toimialoilla. Se edistää omien sanojensa mukaan turvallisuutta eri aloilla. Nixu näkee, että se on hyvä pohja kasvulle pitkällä tähtäimellä, koska tietoturvasta on tulossa isojen toimijoiden peliä. Vähän näyttää, että hallinnollinen byrokratia voi viedä Nixun isojen konsulttifirmojen tielle kauemmas käytännönläheisestä tekemisestä ja asiakkaiden tarpeista. DNV muuten joutui itsekin kiristyshaittaohjelman uhriksi vuoden alussa, mutta se ei huolestuta Nixua.

SASE-rintamalla SD-WAN on jäänyt taka-alalle, vahvistaa Gigaom. Sen mielestä kuitenkin SD-WAN on tärkeä osa pakettia ja sitä ei voi unohtaa. Valmistajien kärjessä on Gigaomin mukaan Vmware, Versa, Cato ja Aruba. Vmwarea painaa kuitenkin odotettavissa olevat 40% hinnankorotukset Broadcomille siirtymisen jälkeen. Ostajan kannattaa harkita tarkkaan. Muita hyviä nimiä SD-WAN -tuotteissa ovat Aryaka, Cradlepoint, Fortinet, Nokia ja Paloalto. Cisco on tälläkin kentällä tippunut kyydistä. Haastajakentässä on varsin sekalaisia nimiä: Barracuda Networks, Bigleaf Networks, Ecessa, Fatpipe Networks, Forcepoint, Huawei, Juniper Networks ja Peplink. Ensikertalaisena nousijana mukaan tulevat Evolving Networks ja Graphiant.

Zscaler on lisännyt asiakkaiden pyynnöstä pilvipalvelunsa varmuutta poikkeustilanteissa. Älykkäällä liikenteenohjauksella ja DR-kyvyllä palvelu jatkaa toimintaa, vaikka siihen kohdistuisi katko tai palvelunestohyökkäys. Politiikan pakotus ja zero trust -malli toimivat asiakkaan omassa private edgessä, vaikka pilvipalvelun yhteys katoaisi. Zscaler ostaa israelilaisen Canonic Securityn, joka turvaa SaaS-palveluiden kautta jaettavaa dataa ja rajapintoja.

Kyberturva

ENISA ja CERT-EU ovat julkaisseet varoituksen Kiinan jatkuvasti uhkaavista valkoiluoperaatioista Euroopassa. Kohteena ovat sekä julkinen että yksityisen sektori. Epätoivoista herättelyä tai ei, mukana on myös ohjeita miten puolustautua. Alankomaiden tiedustelu varoittaa, että Venäjän nopeat, kohdistetut ja laajat kyberoperaatiot ovat voineet jäädä huomaamatta. Monia merkkejä iskuista on havaittu. Esim. Pohjanmerellä hollantilaiset ovat nähneet ennennäkemättömiä meriliikenteeseen kohdistuvia operaatioita, joilla valmistellaan muita operaatioita.

Cisco on julkaissut ensimmäinen Cybersecurity Readiness Indexin. Tieto koostuu 6700 tietoturvajohtajan kyselystä 27 markkina-alueella. Sen perusteella pahimmat uhkat ovat identiteetin ja laitteiden hallinnassa. Vain 20% piti omaa organisaatiotaan kypsänä tällä alueella. Zero trust ja MFA aiheuttavat liikaa kitkaa käyttäjille, joten Cisco tarjoaa fiksumman pääsynhallinnan, joka ymmärtää kontekstia ja riskiä paremmin. Käyttäjän ei tarvitse niin usein syöttää koodeja, vaan identiteetin voi vahvistaa vain nappia painamalla.

Impalabs on analysoinut Huawein Security Hypervisorin rakennetta ja toimintaa. Security Hypervisor on lähes jokaisessa Huawei-laitteessa ja sen tarkoitus on parantaa kernelin tietoturvaa.

Venäjän hallinto aikoo ottaa käyttöön uuden internetin seurantatyökalun nimeltä Vepr eli villisika. Järjestelmän rakentaa pietarilainen Neobit, joka on kehittänyt välineitä ennenkin. Tarkoitus on päästä kiinni “yhteiskunnan jännitteisiin” yksilötasolla.

USA:n, Australian, Intian ja Japanin Quad-allianssi on perustanut projektin Quad Cyber Challenge, jonka tarkoitus on herätellä yrityksiä kyberin perusasioista. Julkaisuna on yksinkertainen tarkistuslista tehtävistä, jotka pitää vaan hoitaa. Valkoinen talo on nimittänyt yritysjohtoa kansallisen tietoturvan NSTAC-neuvontakomissioonsa. Mukana on mm. Mandiantin, Rapid7:n, Trellixin, Microsoftin, Comcastin ja Coxin johtoa.

Google kertoi maksaneensa viime vuonna 12 miljoona dollaria tietoturvatutkijoille bug bounty -ohjelmiensa kautta. Se on Googlen suurin maksusumma toistaiseksi ja toiseksi suurin teknoalalla. Vain Microsoft on maksanut enemmän: 13,7 miljoonaa dollaria vuodessa. Googlen suurin menoerä on Android ja sen suurin yksittäinen bugi maksoi 605000 dollaria.

WithSecure on julkaissut uuden lunnashaittaohjelmien vastaisen työkalun Activity Monitorin, joka valvoo tiedostojärjestelmää ja voi palauttaa siihen tehdyt muutokset takaisin, jos se huomaa epäilyttävää käytöstä.

Haavoittuvuuksia tuntuu riittävän: Openssl, F5 Bigip, Cisco, Fortinet, Citrix, Solarwinds, Gitlab, Grafana, jne. Viimevuotista Netgearin Nighthawk -haavoittuvuutta on avattu HDW Secin blogissa. Gooberbot saastuttaa Zyxelin reitittimiä viimevuotisen haavoittuvuuden avulla. Ubiquiti on muuttanut tietoturvan oletusasetuksia mm. koventamalla salasanavaatimuksia, poistamalla SSH:n käytöstä missä mahdollista ja lisäämällä pilvipalveluun MFA:n.

Ubiquitin entinen työntekijä Nickolas Sharp on myöntänyt varastaneensa yrityksen tietoja ja yrittäneensä kiristää ubiquitia niillä vuonna 2021. Sharp muistetaan huijauksesta, jossa hän yritti lavastaa omaa varkauttaan tietomurroksi Brian Krebsin kautta. Microsoft on viritellyt eräänlaisen lunnasohjelman yrityksille Teamsin muuttuessa maksulliseksi: jos et maksa, menetät vanhat tietosi.

Vuosiraportteja tulee ulos joka puolelta. Listaa uhkaraporteista on koottu yhdelle sivulle. Prio N:n haavoittuvuusraportissa Microsoftin ylivoima tulee hyvin selville. Suurin osa haavoittuvuuksista on oikeuksien nostoja ja koodin suorituksia. Puoleen kaikista haavoittuvuuksista on olemassa valmis ilmainen tai maksullinen hyväksikäyttötapa. Ranskan ANSSI:n vuosiraportti on julkaistu englanniksi ja NCC on julkaissut vuosittaisen uhkaraportinsa. TrustOnCloud on tehnyt laajan uhkamalliraportin Azuren Storagesta. Samanlainen raportti on olemassa AWS:n S3:sta.

Venäläinen Zarya-ryhmä valmistelee Miraista kustomoitua bottiverkkoa länsimaiden vastaiseen hyökkäykseen. Paloalto on löytänyt V3G4-bottiverkon, joka on myös muunnos Miraista ja saastuttaa nyt IoT-laitteita ja Confluence-palvelimia.

Operointi ja työkalut

Joskus konesalissa kokataan hummeripastaa. Netflixin Dave Temkin muistaa kantaneen illalliseksi ostamansa hummerin mukanaan Netflixin POP:iin Manhattanilla poiketessaan siellä kotimatkalla.

Kuitukaapelit ovat huimia. Prysmianin uusi ennätyskaapeli Sirocco HD mahduttaa 864 kuitua 11 mm kaapeliin. Se tekee 9,1 kuitua neliömillimetrille.

PwC:n pilvitutkimus selvittää mitkä asiat johtavat onnistumisiin. 78% johtajista kertoo ottaneensa pilveä käyttöön lähes kaikessa liiketoiminnassa, mutta vain 10% yrityksistä tekee asiat oikein ja saa hyödyn liiketoiminnalleen. Neljä kulmakiveä ovat: liiketoimintalähtöinen pilveistäminen ja sitoutuminen, liiketoiminnan ja IT:n yhteistyö, yrityksen laajuinen datastrategia ja panostukset pilven hallintamalleihin.

Aina ei tarvitse rakentaa highend-palveluita. Levels.fyi näyttää miten Google Sheets voi toimia “tietokantana” ja Forms frontendinä miljoonalle käyttäjälle. Aloittaa voi helposti ja kustannustehokkaasti, ja yllättävän pitkälle on päästy, vaikka ei ratkaisu tietenkään kaikin puolin optimaalinen ole. Oppina tästä voi olla se, että tärkeintä on valita pilvinatiivi työkalu, ei niin väliä mikä se on.

Verkolla on iso rooli monipilven toteutuksessa. Tästä osoituksena Vmwaren Cloud Professional Multi-cloud VCP-VMC -sertifiointi painottuu vahvasti verkko-osaamiseen. Pilviosaajaksi voi kuitenkin tulla ilman insinööritutkintoakin. Erään Azure-insinöörin tie on kulkenut puolen vuoden omaopintojen kautta töihin Microsoftille. Opiskeluateriaalia on koottu learntocloud.guide-sivulle.

AWS on julkaissut Management Consoliin työkalun, jolla VPC:n käyttämät resurssit visualisoidaan kartalle. Näin ominaisuudet ja arkkitehtuuri on helpompi hahmottaa. AWS neuvoo miten tehdä hyvän käytännön mukainen Break Glass -rooli, jolla on pääsy vain konsolille hätätilanteessa kun muu ei toimi. AWS Purity Test testaa oletko nuubi vai guru AWS-palveluissa. Azurelle on tehty tarkastuslista, jolla voi varmistaa toteutussuunnitelman ja arkkitehtuurin. Dasboard-sivulla toteuma saadaan nätisti visualisoitua.

Anton Chuvakin pohtii miten pilven Defence in Depth-konsepti saadaan toteutumaan. Pilven tietoturvaan on olemassa kolme koulukuntaa. Pilvi on kuin on-premise -koulukunta siirtää vain vanhat mallit pilvialustalle, mutta sillä tuskin tulee parasta mahdollista jälkeä. Toinen koulutunta on pilvikieltäjät, joille pilvi on jatkuva uhka. Koko ajan ollaan yhden konfiguraatiovirheen päässä katastrofista. Heidän kannattaisi tutustua hyvän tavan mukaisiin arkkitehtuureihin ja toteutusmalleihin. Kolmas koulukunta on pilvinatiivit, jotka hyväksyvät epävarmuuden ja tekevät itse oman tietoturvansa. Selkeästi tietyt perinteiset menetelmät ja rakenteet eivät päde, vaan kerroksellista tietoturvaa pitää etsiä uusista kerroksista ja rajapinnoista. Koodilla on väliä ja identiteetinhallinta on iso osa kaikkea. Kerroksellinen puolustus tulee siis edelleen kerroksellisuudesta ja lomittuvasta hallinnasta, sekä teknisten ominaisuuksien että toimintamallien tasolla.

Forescout on löytänyt OT-verkkojen PLC-tason haavoittuvuuksia ja kertoo tarkemmin miten syvällä PLC-tasolla hypellään sivuttain eteenpäin. OT:n L1-tason laitteet ovat pahamaineisen huonoja tietoturvassa, vaikka ne monesti sijaitsevat verkon liitoskohdissa kahden eri segmentin rajoilla. Nyt kun pilvi ja internet pitäisi lisätä mukaan yhtälöön, tilanne on entistä herkempi. Hyökkääjä voi tavoitella sivuttaisliikkumisella toiseen segmenttiin siirtymistä tai hienojakoisempaa kontrollia kohteeseensa. Pitäisi siis tajuta, että laite yhdessä segmentissä voi olla vain välihyppy johonkin muuhun. Suosituksena on koventaa liittymäkohtia ja lisätä valvontaa.

Jotenkin ne pilvipalvelut pitäisi saada myös teollisuuskäyttöön. NATS.io on yhteys- ja viestintäsovellus, jolla sovellukset voivat pub/sub-mallilla välittää tietoa toisilleen mistä tahansa. David Gee demoaa likennevaloesimerkillä miten PLC laitetaan välittämään ohjaustietoa OT-verkosta ulos ja sisään turvallisesti.

ChatGPT:tä ja muita tekoälytyökaluja häkätään urakalla. Redditissä on projekti DAN (Do Anything Now), jolla käyttäjät kouluttavat tekoälyä ohittamaan sille tehdyt rajoitukset. Tekoälyä rankaistaan vääristä vastauksista ja se näyttää kääntävän sen omia toimintaperiaatteita vastaan. Rikolliset kiertävät myös ChatGPT:n suojauksia ja markkinoivat sillä luotuja haittaohjelmasisältöjä. Haittaohjelmanäytteiden käänteisanalysoinnissa ChatGPT ei loista, vaan tosielämän näytteet ovat sille liian vaikeita.

Valmistaja toisensa jälkeen ilmoittaa integroivansa ChatGPT:n omaan tuotteeseensa. Logpoint antaa käyttäjille mahdollisuuden testata SOAR-playbookien tekoälykäsittelyä. Hyödyllistä apua saataisiin nopeammassa raportoinnissa ja lyhyissä tiivistelmissä. Myös uskottavaa tietoturvakoulutusta voisi tehdä esim. luomalla automaattisia kalasteluviestejä. Pilvinatiivi toimija Armo helpottaa ChatGPT-integroinnilla Kubernetesin tietoturvaa. ChatGPT:n voi myös itse integroida tuotteisiin API:n avulla. Antonio Formato laittaa tekoälyn osaksi Sentineliä hyödyntäen PowerAutomatea.

SIEM-järjestelmästä on tullut kehitysalusta, jonka päälle rakennetaan havainnointia ja työkaluja. Kyberkehittäjä voisi olla uusi työnimike koodarille, joka rakentaa SOC:n havainnointia, käsittelyä ja työkaluja. Jokainen tietoturvatiimi on varmasti alimiehitetty ja työntekijöitä tuskin saadaan riittävästi. Automatisointi on yksi tapa selvitä. Toinen tapa on hajauttaa työtä koko organisaatioon. Työntekijöiltä voi saada arvokasta tietoa poikkeavista tapahtumista ja havainnoista. iestintää voi olla hyvä levittää esim. keskusteluryhmiin. Ciscon  Marko Haarala kuvaa uudenlaista johtokeskusta, jossa tilannekuva muodostuu ja jalostuu automaattisesti koneiden, ihmisten ja tekoälyn kesken. Asioista viestitään reaaliajassa ja parhaimmillaan mitään kriisiä ei edes ehdi syntyä. Tähän tarvitaan moderneita välineitä, mutta myös toimintatapamuutosta.

Honeycomb jakaa oppeja häiriöhallintaan. Ensinnäkin nykyisissä ympäristöissä on hyväksyttävä, että kaikki ei ole omissa käsissä. Ensilinjan työntekijän tehtävä on tehdä pikaselvitys ja korjata mitä pystyy, kaikki muu on bonusta. Eskalointi seuraavalle tasolle on aina hyväksyttävää. Hälytysten on oltava selkeitä, kuvaavia ja oikeaan suuntaan ohjaavia, jotta voidaan toimia vähemmillä ohjeilla. Turhat hälytykset pitää pystyä karsimaan, jotta hälytysten ihmettelyyn ja selvittelyyn ei mene aikaa. Tavoite on palauttaa palvelu toimintaa, joten tarvitaan selkeä kuva ongelmasta, ja tietoa mitä korjaustoimia voi tehdä, ja mitä ei. Työkulttuurin toimintatavoilla voi vahvistaa suoriutumista. Tekijä ilmoittaa mitä aikoo tehdä, jotta muut tietävät sen ja voivat tukea tehtävää. Viestintään on chat-kanava, johon voidaan syöttää myös valvontatietoa. Muut voivat rikastaa tietoa ja löytää siitä johtolankoja. Keskustelusta on myös hyvä tehdä tunnetason seurantaa ja järjestellä toimintaa sen mukaan. Psykologinen turvallisuus on tärkeää. Uudempien työntekijöiden on hyvä antaa oppia rauhassa. Vastuu on jaettu ja töitä tehdään yhdessä, taustalla on aina tukijoukko. Kaikkea ei voi opetella ja oppi tulee ajan myötä. Tärkeämpää on keskustella tapahtumista ja niiden hoitamisesta. Häiriöt ovat oppimista ja paras anti niistä on toimivat toimintamallit.

Living Off Trusted Sites LOTS-projekti listaa hyökkääjien käyttämiä tunnettuja domaineja. Nämä domainit siis tavallaan sallivat oman infransa käyttämisen kyberhyökkäyksiin. Secret Pattern Database kerää yli 1600 Regex-lausetta, joilla voi etsiä salaisuuksia. SecurityScorecard on julkaissut yli 17000 Killnetin käyttämää ip-osoitetta. CERT-PL on laittanut oman haavoittuvuusskanneri Artemiksen koodin avoimeen jakoon.

NSA julkaisi ohjeita etätyöpisteen suojaamiseksi. Niissä ei ole mitään kovin ihmeellistä, mutta jotkin asiat hieman yllättävät. Langattoman segmentointi tuntuu nykypäivänä turhalta, koska kaikki laitteet ovat internetissä joka tapauksessa. Sivuttaishyppelyä ja riskejä se voi jonkun verran vähentää, mutta miten merkittävästi? Palomuurissa kehotetaan nattamaan, mitä ei voi pitää varsinaisena tietoturvatoimenpiteenä. Osoitteiden piilotus nyt ainakin estää suorat skannaukset ja hyökkäykset. Laiteet neuvotaan buuttamaan säännöllisesti mahdollisesti muistissa elävien haittaohjelmien varalta. Uusi neuvo minulle. Hyviä ohjeita kuitenkin. Kaikkihan kuitnekin juontuu siitä, että päätelaitteet ovat haavoittuvia. Muista siis ensisijaisesti päivittää laitteet.

Helsingin yliopisto järjestää avoimena opetuksena kurssin “Core 5G and Beyond”, jossa käydään läpi 5G:n konseptit ja 6G:n tulevaisuus. Kurssista saa kaksi opintopistettä. Amir Hertzberg Connecticutin ylipopistosta on päivittänyt Routing Security -luentoaan. Siinä käydään 125 sivulla kattavasti läpi internetin reititysturvallisuus. Chris Parker selittää pitkäsanaisesti eBGP:n TTL-käsittelyä ja yleisiä harhaluuloja. GTSM-suojamekanismilla TTL asetetaan ykköseksi, jotta peerien pitää olla suoraan kytkettyjä naapureita, eikä kukaan pääse väliin. EBGP-peerauksen voi kyllä yhtä hyvin tehdä loopbackeillä tai muilla osoitteilla, jolloin TTL vaan pitää kasvattaa kakkoseksi, jotta paketit pääsevät perille asti. Ivan Pepelnjak on löytänyt Ciscon bgp-update-delay -option, joka määrittää miten nopeasti reitit mainostetaan eteenpäin. Oletus on 120 s, mikä hidastaa ylös nousevan peerauksen reittien konvergoitumista.

Toivottavasti monikaan ei käytä FCoE:tä, mutta Ciscon tuotepäällikkö Jim Metz kertoo kuitenkin sarjakuvan avulla, että konesaliverkon ruuhkanhallintaprotokolla QCN ei ratkaise FCoE:n ongelmia. Juniperin vQFX:n sarjanumeron voi vaihtaa itse, mikä saattaa pelastaa ongelmilta. EVPN-ohjeita tuutataan ulos valtavia määriä. Aristan EVPN-ohjauskerroksen vianselvitystä kuvaa Tony Bourke. Aristan viralliset TAC-sarjan webinaarit vievät sisään L2- ja L3-ongelmien selvittelyyn.

Juniperin Sharada Yeluri kirjoittelee nyt kytkimien puskureista. Tuo hankala ja epämääräinen asia, johon ei ole selvää vastausta. Puskurien mitoitukseen oli ennen nyrkkisääntö, jossa pyrittiin pitämään 100 ms ajan liikennettä muistissa. Nopeuksien kasvaessa hurjasti, vaadittu muistin koko olisi mahdoton. Yleisesti käytetyt HBM-muistit ovat suurimmillaan 24 GB -kokoisia, joten sillä saisi puskuroitua vain 2,4 Tbps liikennettä 100 ms ajan. Akateemikot ovat kehitelleet uusia laskentasääntöjä, mutta ne eivät ole konkretisoituneet valmistajilla. Nykyisissä reitittimissä pitää tasapainoilla kytkentä- ja puskurointimuistin kapasiteetin kanssa. Valmistaja voi käyttää suoraan piirillä olevaa SRAM:ia, jonka kapasiteetti on pienempi. Se sopii konesalin pieniin viiveisiin. WAN-puolella vaihtelevien viiveiden ja parametrien sekä isojen skaalojen maailmassa valmistaja voi luottaa pelkkään ulkoiseen HBM:ään. Isoille kapasiteeteille vaan on vaikea saada toteutettua riittävän montaa muistiblokkia. Siispä valmistajat ovat yhdistäneet molempia tapoja. Nyt kehitystä tapahtuu muistin pakkauksessa, jolloin erilaisia muisteja voidaan miksata suoraan logiikkapiireille. Myös ruuhka-algoritmit kehittyvät viivetietoisemmiksi.

Linux 6.2 -päivitys tuo siihen uusia verkko-ominaisuuksia. Nvidian panostuksella mukaan on saatu tuki 800G:lle linkkiagregoinnissa. PLB-kuormanjakoalgoritmi on päätelaitteen mekanismi jakaa liikenne tasaisesti useammalle linkille siirtokerroksen ruuhkaviestien perusteella. Wifi7-tuki ja 320 MHz-kanavat tulevat ensin Mediatekin laiteille. Ubuntusta on julkaistu nyt realiaikaversio ja Microsoft on avannut sen oman reaaliaikakäyttöjärjestelmän CHERIoT:n avoimeen jakeluun. Molemmat ovat kevyitä IoT-käyttöjärjestelmiä, joissa turvallisuus on olennaisessa osassa.

Aerleon on palomuurisääntöjen luomistyökalu. Se on johdannainen Capircasta ja toimii pelkkiä ACL:iä laajemmin monien laitteiden ja valmistajien kanssa. Määrittelyformaatti on nyt avoin YAML. Ntopex rakentaa Contrainerlab-topologioita Netbox-tiedon perusteella.

Ipv6-taidetta tarjosi Cameron Steel. Ipv6 Canvasta pääsi maalaamaan pingaamalla haluttua koordinaattia ja väriä, mutta projekti on nyt jo ehtinyt sulkeutua.

Numerot

KEHITYSTÄ JA TULEVAISUUTTA

ChatGPT:n omaksumisen kehityskäyrä on ollut huiman pystysuora. Mitä odottaa tulevaisuudelta? Tekoälyekspertit pohtivat näkymiä ja näyttää, että kaksi suuntaviivaa määrittää tulevaisuutta. Yksimielisyyttä ei ole ja epävarmuus on suurta. Se voi merkitä, että ihmisen tasoinen tekoäly on kaukana, mutta aikaa valmistautua on vähän. Samaan aikaan isosta kuvasta on yksimielisyys. Kaiken mullistava muutos on tulossa 50-100 vuoden sisällä, ehkä jopa ennen.

Erilaisia näkemyksiä on myös kvanttisalauksen tarpeellisuudesta ja nykyisen RSA-salauksen heikkoudesta. Alkuvuonna kiinalaistutkijoiden ryhmä kohahdutti väittämällä löytäneensä menetelmän murtaa 2048-bittinen RSA-avain vain 372 kubitilla, kun aiemmin siihen on arvioitu tarvittavan 20 miljoonaa kubittia. Kiinalaisten tutkimus saa kovaa arvostelua muilta tutkijoilta tyyliin “ehkä huonoin kvanttikonetutkimus 25 vuoteen”. Ei ole ensimmäinen kerta kun tällaisia outoja ideoita heitellään ilmaan. Kesksutelussa Shorin ja Scnorrin algoritmit ja niiden heikkoudet lentelevät sinne tänne. Fujitsun tiedotteessa selvennetään, että RSA:n murto ei ole lähellä. Siihen menee noin 10000 kubittilla ja 2,23 triljoonalla kvanttilogiikalla 104 päivää. Murtuminen on lähellä geologisessa aikaskaalassa, ei ihmisen elinkaaressa. Tosiasiassa kvanttikoneet ovat hyviä yhteen asiaan: saamaan rahoitusta. Kvanttisovellukset ovat oikeasti fysiikan ja kemian simulaatioissa, ja laskentaoptimoinnissa, joka ei klassisessa maailmassa onnistu. Pula sovelluksista näivettää kvanttilaskentaa ja voi tuoda kvanttitalven vielä vuosikymmeniksi, kuten kävi tekoälyn kanssa. NIST jatkaa uuden Shorin algoritmin haavoittuvuuksille vastustuskykyisen algoritmin etsintää. Paras neljännen kierroksen ehdokaskin juuri karsiutui jatkosta haavoittuvuuden takia. RSA voi kaatua myös ihan klassisen laskennan haavoittuvuuksiinkin. Myös IETF on käynnistänyt työryhmän etsimään kvanttiajan salausta. Joka tapauksessa kun uusi salausalgoritmi löytyy, kvanttiajan salausta on odottamassa valtava markkina ja mediashow.

NIST on juuri valinnut uuden salausstandardin kevyisiin sovellutuksiin. Ascon-salausperhe valikoitui 57 ehdotuksen joukosta, ja se läpäisi arvioinnit ja testauksen viiden vuoden kehitysohjelman aikana. Itse algoritmi on kehitetty jo 2014 Grazin yliopistossa. Se on suunniteltu IoT-käyttöön ja huomioon on otettu tietoturvan lisäksi myös suorituskyky ja joustavuus. Perheeseen kuuluu seitsemän algoritmia.

PIN-koodeista siirrytään yhä enemmän biometriseen tunnistautumiseen. 2025 markkinoille tulee 140 miljoonaa biometristä pankkikorttia, joissa ei enää käytetä PIN-koodia. Muutosta täytyy samalla tehdä myös taustajärjestelmiin.

Tutkijat ovat lähettäneet dataa ilman virtaa 7 metrin matkan 5-20 bitin sekuntinopeudella. Ajatus tuntuu rikkovan fysiikan lakeja. Energia tulee kytkinpiirin vastuksen lämpökohinasta. Kikka on siinä, että lähetin ei käytä virtaa, vaan vastaanottaja käyttää enemmän virtaa kun sillä on sitä saatavissa. Sama periaate on muissakin alhaisen virrankulutuksen IoT-tekniikoissa. Tulevaisuuden käyttökohde voi olla esim. implanteissa ja lähetykseen voidaan hyödyntää kudoksen lämpökohinaa.

BT testaa 5G-signaalin biimausta stratosfääristä maahan. HAPS-avaruusaluksesta voisi kattaa noin 450 maanpäällisen tukiaseman peittoalueen. Avaruusaluksen siipien kärkiväli olisi 60 metriä ja sen käyttövoima tulisi vedystä. Alus leijuisi viikon avaruudessa ja palaisi sitten omatoimisesti maahan tankattavaksi. Alusten vaihto tapahtuisi katkottomasti. Yksittäin ohjattavilla 500 säteellä saataisiin 150 Mbps -nopeudet 140 km alueelle huomattavasti halvemmalla ja tehokkaammin kuin satelliiteilla.

Internetin loppu on lähellä ja sillä on merkitystä Euroopalle, varoittaa EU-tutkija raportissaan. DNS-järjestelmä horjuu, ipv6-siirtymä sakkaa, sisältöä ja palveluita suodatetaan, verkot peeraavat valikoivasti, dataa lokalisoidaan, teknojätit muodostavat suljettuja kupliaan ja standardointi tökkii. Internet on laajempien geopoliittisten muutosten kourissa ja heijastaa kansainvälistä järjestystä. Vaikka EU osallistuu itsekin tähän huonoon kehitykseen, sen oman edun mukaista olisi saada internet pidettyä avoimena. EU voisi ottaa isompaa roolia internetin kehityksessä.

2 thoughts on “[FI] Tietoliikennealan katsaus 2023-02

  1. “Yleisesti käytetyt HBM-muistit ovat suurimmillaan 24 GB -kokoisia, joten sillä saisi puskuroitua vain 2,4 TB liikennettä 100 ms ajan.”

    Tuossa on tainnut mennä yksiköt sekaisin?

    Reply

Leave a Reply