[FI] Tietoliikennealan katsaus 2023-11

Häiriöt

Cloudflaren konesaliongelma 2.11. aiheutti häiriöitä palveluihin. Post-mortem on kuin jännitysnäytelmä, joka imee mukaan uusiin käänteisiin ja sisältää suunnilleen kaikki mahdolliset ongelmat mitä eteen voi tulla. Häiriö havaittiin ongelmina alustan ohjauskerroksella ja analytiikkapalveluissa. Nämä palvelut ajetaan lähtökohtaisesti kolmessa konesalissa Oregonin Hillsboron alueella. Isointa näistä kolmesta salista operoi Flexential. Paikallisella sähköyhtiöllä oli salissa suunnittelematon huoltokatko, jonka takia yksi sähkönsyöttö tippui alas ja kaksi muuta syöttöä siirtyivät generaattoreiden varaan. Muutos ei näkynyt valvonnassa eikä siitä tiedotettu Cloudflarea. Luultavasti muuntajassa tapahtui oikosulku ja siksi generaattoritkin piti varotoimenpiteenä ajaa alas. UPS:ssa piti riittää virtaa 10 minuutiksi, mutta teho alkoi loppua jo neljän minuutin jälkeen. Generaattoreita ei saatu käyntiin ja konesalin laitteet tippuivat alas. Palveluiden piti olla hajautettuja, mutta nyt selvisi, että niissä oli riippuvuuksia sammutetun konesalin klustereihin. Testejä ei ollut tehty niin perusteellisesti, että tämä olisi selvinnyt etukäteen. Flexentialin piti päästä paikan päälle korjaamaan sähköongelmia, koska yöpäivystäjällä ei ollut osaamista sähköjärjestelmiin. Myös tiloihin pääsyssä oli ongelmia, kun kulunvalvonta ei ollut akkuvarmistuksessa ja ei toiminut. Noin tunnin päästä sähkönsyöttö saatiin takaisin, mutta sulakkeet olivatkin vaurioituneet niin, että niitä ei saatu kytkettyä takaisin päälle. Sulakkeet piti vaihtaa, mutta niitä ei ollut tarpeeksi varastossa. Piti lähteä kaupoille. Palautus viivästyi ja Cloudflare päätti siirtää olennaiset palvelunsa varakonesaliin Eurooopassa. Siirrosta syntyi thundering herd -ilmiö, jossa yhtäaikaiset API-kutsut tukkivat palvelut. Rate-limiterit piti laittaa päälle. Osa palveluista ei kuitenkaan noussut ylös, koska ne olivat uudempia versioita, joita ei ollut testattu. Puolen vuorokauden jälkeen Flexential sai sähköt päälle, mutta Cloudflare teki rohkean päätöksen, että ei lähde enää siirtämään palveluita takaisin, koska koko konesali laitteineen ja palveluineen olisi pitänyt käynnistää uudelleen. Riski olisi ollut liian iso, kun laitteet olivat tuntemattomassa tilassa ja työntekijät väsyneitä. Seuraavana päivänä aloitettiin tuhansien palvelimien palautus, ensin hallintapalveluista, joiden uudelleenrakennus kesti kolme tuntia. Sen jälkeen jokaisen palvelimen uudelleenkäynnistys kesti 10 min – 2 h ja hommaa hankaloitti palvelinten keskinäinen riippuvuus. Lopulta häiriö saatiin korjattua yli 1,5 vuorokauden jälkeen.

Cloudflaren tapaus osoittaa miten hankalaa riippuvuuksien hahmottaminen ja hallinta on. Fyysinen vika yhdessä laitteessa saattaa johtaa kokonaisen alustan ja palveluiden hajoamiseen. Samalla toimintakyky alenee ja palautuminen kestää pitkään, kun tarvittavia työkaluja ja näkyvyyttä ei ole saatavilla. Tuttu ongelma isoissa häiriöissä. Pragmatic Engineer vertailee miten pilvialustat selviytyvät tärkeästä häiriöviestinnästä. Vikakuvaukset ja niiden julkaisutahti ja julkisuus vaihtelevat. AWS julkaisee alustavan häiriökuvauksen minuuteissa, Azure taas tarjoaa aikajanan ja kattavan lopullisen post-mortemin myöhemmin. Google julkaisee tiheästi post-mortemeita ja yksitysikohdat ovat tarkat, mutta ristiriitaiset. AWS:n julkinen selvitys näyttää yleensä jäävän saamatta, ja jos sellainen julkaistaan, siitä puuttuu yksityiskohtia.

Equinixilla oli puolestaan ongelmia Singaporen konesalin jäähdytyksen kanssa. Pari pankkiasiakasta menetti palvelunsa, kun salin jäähdytys ei toiminut kunnolla. Häiriö johtui ulkopuolisen toimittajan tekemästä suunnitellusta järjestelmäpäivityksestä, jonka vuoksi jäähdytysveden venttiilit sulkeutuivat virheellisesti. Jäähdytysjärjestelmä ei ollut kahdennettu. Pankit yrittivät siirtää palveluitaan DR-saitille, mutta molemmilla oli ongelmia joko konfiguraatioiden tai tietoliikenneyhteyksien kanssa, joten kaikkia palveluita ei saatu pystyyn. Vaatimustenmukaisuus jäi puutteelliseksi ja siksi sääntelijä lätkäisi DBS-pankille rangaistuksia ja uusia vaatimuksia.

Australian Optus onnistui katkaisemaan koko maan internetin ja mobiiliverkon liikenteen 16 tunniksi 10 miljoonalta kuluttajalta ja 400000 yritykseltä. Vika tapahtui aamuyön huoltokatkon aikana. Kentikin mittareissa näkyy liikennepudotus ja blogissa kuvataan miten tapaus näkyy heidän tuotteellaan. Lopullinen syy jäi vielä vähän epäselväksi, mutta ongelma oli STiX-yhdysliikennepisteen reittimainostuksissa. Akamaita epäiltiin syylliseksi, mutta näyttöä siitä ei ollut. Ilmeisesti ”ylihuormitus” liittyi Ciscon BGP:n max-prefix -asetuksiin yli 90 reitittimessä. Varsinainen vika oli siis Optuksen oma virhekonfiguraatio, joka päästi virheellisen reittitiedon läpi ja sulatti koko verkon. Reitittimet piti käydä napittamassa paikan päällä, joten palautuksesta tuli hidasta. Kunnollinen OOB-etähallinta olisi auttanut. Häiriöviestintä ei oikein onnistunut, kun Optus pysyi vaiteliaana koko ongelman ajan ja ensimmäinen tiedote tipahti vasta illalla korjauksen alettua edetä. Viestintäministeri joutui ojentamaan yritystä ja tapauksen jälkeen toimitusjohtaja Kelly Bayer Rosmarin irtisanoutuikin tehtävästään. Optus ja Rosmarin rypivät myös viime vuoden tietomurtotapauksessa, jossa vuoti 10 miljoonan asiakkaan henkilötietoja. Joukkokanne vaatii Deloitten tekemää selvitystä julkiseksi ja oikeus kielsi raportin salaamisen.

Myös yhdellä maailman suurimmista yhdysliikennepisteistä, AMS-IX:llä oli iso häiriö MPLS-verkossaan. Liikennemäärä tippui hurjat 8 Tb/s alas normaalitasosta. Ongelma oli Juniperin ja Extremen välisessä P-PE-rajapinnassa. Aluksi tilanne ratkaistiin rate-limitereillä, mutta ongelma tuli takaisin seuraavana päivänä, jolloin portteja jouduttiin laittamaan alas. Syyksi selvisi LACP-pakettien vuoto Juniperilta asiakaslaitteisiin. LACP-ACL:t eivät toimineet laitteissa odotetusti. LACP-fläpit johtivat laitteen tukkeutumiseen ja RSVP-signaloinnin pätkimiseen. Sen myötä BGP-reitit heiluivat. Voi kuvitella mikä myrsky tulee kun 885 BGP-sessiota fläppää ja reitit kääntyvät. RIPE on jälleen tutkinut minne reitit kääntyivät ja miten hyvin. Vaihtoehtoisia reittejä ovat kahdenkeskiset peeraukset, transitit ja muut IXP:t. AMS-IX:llä ei ole kahta erillistä verkkoa, joten sen sisällä liikenne ei voinut kääntyä toiselle puolelle. Ja hyvinhän reititys toimi, mikä todistaa, että ekosysteemi toimii ja siinä on riittävästi vaihtoehtoisia polkuja.

Telian koko verkossa oli lyhyt alle puolen tunnin katko 23.11. illalla. Se vaikutti myös verkkopalveluihin.

Paloalton PAN-OS root- ja oletusvarmenteet vanhenevat vuoden lopussa ja kaikki laitteet on päivitettävä. Tieto tulee jälleen yllätyksenä ja kivasti myöhässä.

Hyökkäykset ja haavoittuvuudet

Oktan aiemmin ilmoittama tietomurto vaikuttikin kaikkiin sen tukiasiakkaisiin, ei vain 1%:iin, niin kuin alun perin oli ilmoitettu.

USA:ssa hyökkääjien uusi taktiikka on nyt tehdä ilmoituksia SEC:lle yritysten raportoimatta jättämistä tietomurroista. AlphV-ryhmä hyökkäsi MeridianLinkin verkkoon, ja kun yritys ei itse tehnyt vaadittavaa 8-K-ilmoitusta, ryhmä teki SEC:lle oman ilmiantoilmoituksen painostaakseen maksamaan lunnaita. Temppu menee vähän hölmön provosoinnin puolelle, koska raportointivelvoite tulee voimaan vasta joulukuun puolivälissä ja koskee vain materiaalisia vaikutuksia, joita tässä tapauksessa tiettävästi ollut. Toisekseen SEC:n ilmiantajaohjelmaan olisi pitänyt rekisteröityä, jotta voisi saada palkkion. AlphV ei varmaan rahan perässä ollut, vaan haki julkista painetta uhriyritykselle. Nyt se ei ihan tainnut onnistua, mutta jatkossa tämä keino luultavasti tulee yleistymään. Hyökkääjät voivat tehdä omia haavoittuvuustestauksia ja osoittaa, että yrityksen tietoturvatilanne ei ole sellainen kuin väitetään, esimerkkinä tapaus-Solarwinds.

Venäjän valtiolliset hakkerit ovat murtautuneet yli 20 tanskalaiseen energiayhtiöön. Tanskan SektorCERT julkaisi tapauksesta raportin. Kyseessä oli pienempiä yhtiöitä, joihin mentiin sisään Zyxel-palomuurien haavoittuvuuksia hyödyntämällä. Hyökkäys ei katkaissut yhtiöiden toimintaa, mutta verkot jouduttiin eristämään internetistä. Hyökkääjän tarkoituksena oli luultavasti tiedustelu ja toiminnan valmistelu. Raportti esittää aikajanan tapauksien etenemisestä, sekä johtopäätöksiä ja suosituksia ongelmien korjaamiseksi. Raportti nostaa esille systeemiuhan, jossa sama haavoittuvuus on monissa yrityksissä ja yhdessä ne muodostavat kriittisen uhan yhteiskunnalle.

Cisco avustaa Ukrainan energiasektoria toimittamalla ilmaisia muokattuja IE5000-sarjan kytkimiä valtionyhtiö Ukrenergolle. Ongelmana on ollut GPS-häirintä ja sähköasemien aikasynkronointi. Toimitetuissa kytkimissä on parempi oskillaattori, jolla kytkimen kello pysyy riittävässä tarkkuudessa ilman ulkoista aikalähdettä. GPS-häirintää vastaan voidaan taistella kvanttiteknologiaa hyödyntävillä optisilla gyroskoopeilla, jotka pystyvät havaitsemaan kohteen aseman poikkeaman halutusta paikasta. Photonipaikannuksella voidaan sijainti määrittää tarkasti satelliiteista riippumatta.

Yle on raportoinut Venäjän vakoilevan satelliitteja parkkeeraamalla omat vakoitusatelliittinsa  aivan muiden satelliittien viereen. Näin se voi kuunnella radioliikennettä. Uhkina on myös kyberhyökkäys satelliitteja kohtaan. Satelliitteja tuhoamalla voisi pysäyttää yhteiskunnan aika tavalla. Teoriassa avaruuskaaos voisi lähteä liikkeelle yhden satelliitin romuttamisesta, jonka palaset alkaisivat tuhota lisää satelliitteja ja lisätä romun määrää. Suomella on kuitenkin varajärjestelmät satelliittien toimimattomuuden tilalle ja oma tilannekuvakeskus omille satelliiteilleen.

Venäjällä on nyt vaikeuksia löytää hakkereita sen operaatioihin, kun osaajat pakenevat maasta. Siksi se rakentaa uraputkea lukioiden ja yhteisöjen kautta. Osaajia haetaan Telegram-kanavilta, joissa on aina joku FSB:n tai GRU:n skoutti etsimässä kykyjä. Valtio tekee myös yhteistyötä tunnettujen hakkeriryhmittymien kanssa. Katse on yhä nuoremmissa kyvyissä, koska muuten Venäjä ei saa ylläpidettyä riittävää nykyisen tasoista kyberarmeijaa. Venäjän iskujen pääkohteena on Ukrainan infrastruktuuri ja hallinto. Operaatiot ovat siirtyneet tuhoamisesta enemmän vakoiluun ja datan varastamiseen. Myös menetelmät ovat muuttuneet enemmän living of the land -tyylisiksi hyödyntämään olemassa olevia työkaluja. Sama kehitys mitä muuallakin tapahtuu.

Venäjä on nyt myös kieltämässä virallisesti kaiken VPN-liikenteen. Roskomnadzor saa nyt estää pääsyn kaikille sensuroinnin kiertoa edistäville sivuille eli lähinnä 885000 URL:iin, joissa neuvotaan miten käyttää VPN:ää.

Kiinalaiset hakkerit sen sijaan ovat lymyilleet hollantilaisen puolijohdevalmistaja NXP:n verkossa yli kaksi vuotta. Tapaus tuli ilmi, kun samanlainen hyökkäys Transaviaa kohtaan oli tutkinnassa. Jäljet johtivat myös NXP:n ip-osoitteisiin. Hakkerit sanoivat varastaneensa tietoa mm. piirisuunnittelusta, mutta NXP totesi, ettei mitään materiaalista vaikutusta ollut: varastettu tieto on niin monimutkaista, ettei sitä pysty käyttämään. Varkaudet tapahtuivat hitaasti muutaman viikon välein siirtämällä salatut tiedostot pilvitallennustilaan.

CitrixBleed-haavoittuvuutta sanotaan nyt hyödyntävän neljä eri ryhmittymää. CyFirma raportoi miten Lockbit on hyödyntänyt haavoittuvuuksia, samoin Kevin Beaumont. F5 on varoittanut vakavasta Big-IP-haavoittuvuudesta. CISA varoittaa Juniperin elokuisten Jweb-haavoittuvuuksien hyväksikäytöstä. Kriittisiä OwnCloud-haavoittuvuuksiä yrittävät hyödyntää monet ryhmät. Ciscon XE-softan haitake BadCandy on Talosin esittelyssä. CISA varoittaa Unitronixin PLC-hyväksikäytöstä. Hyökkääjä on todennäköisesti iranilainen Cyber Av3ngers, joka häkkäsi Unitronixia käyttäviä vesipumppuja Pennsylvaniassa.

DDoS-hyökkäyksiä tehdään aika satunnaisiin kohteisiin. ChatGPT saatiin kaatumaan ja tekijäksi ilmoittautui Anonymous Sudan. Kummallisempi pommituskohde oli avoimen koodin Blender-videoeditorisovellus. InfectedSurs on uusi Mirai-johdannainen botnet, joka hyödyntää reitittimien ja videotallentimien nollapäivähaavoittuvuuksia. Verkko aktivoitui lokakuussa. CISA varoittaa, että SLP-protokollaa ja sen hyvää vahvistuskerrointa 2200 hyväksikäytetään nyt DDoS-hyökkäyksissä. AhnLabs on löytänyt uuden DDoS-haittaohjelman Ddostf, joka asennetaan MySQL-kantaan. Mozi-botnet on ajettu yhtäkkiä mystisesti alas. ESET:n tutkijat arvelevat, että sen luojat ovat sulkeneet verkoston tai Kiinan valtion on puuttunut asiaan.

Tor-projekti on poistanut tuhat välityspalvelinta verkostaan, koska niiden epäillään liittyneen ammattimaiseen kryptolouhintaan. Sumo Logicilta on varastettu AWS-palvelinten avaimia ja yhtiö pyytää myös asiakkaita vaihtamaan API-avaimensa. New Relic vahvistaa tietomurron infraansa. Pääsy staging-ympäristöön pystyttiin nopeasti havaitsemaan ja rajaamaan. Yhteisö on huomannut, että Fortinetin kuukausittaiset PSIRT-haavoittuvuusilmoitukset lähetetään ilman DKIM-allekirjoitusta. Viestit joutuvat joillakin vastaanottajilla karanteeniin.

OpenAI

OpenAI erotti toimitusjohtaja Sam Altmanin ja kaaos oli valmis. Showta kesti vajaan viikon, mutta vaikutukset voivat jatkua vielä. Tapaus osoitti ainakin, että Microsoft on hyvin riippuvainen OpenAI:sta, mutta ei silti saanut virallista hallituspaikkaa. Hallituskriisin taustalla oli etiikan ja kehityksen vastakkainasettelu. Tekoälyn uusi läpimurtoprojekti Q* aiheutti paniikkireaktion, josta saatiin vetävää viihdettä viikonlopuksi. OpenAI:n hallitus laitettiin uusiksi, Altman ja henkilöstö jatkoivat hommiaan. Pragmatic Engineer kertoo OpenAI:n tapahtumat ja taustaa. Platformer ja Daniel Miessler analysoivat tapahtumia ja vaikutuksia. ChatGPT Plus -tilausten vastaanotto pysäytettiin, koska alustan kapasiteetti ei riittänyt käyttäjien tekemien omien sovellusten kysynnälle.

Historia

Alex Freeman selittää miksi modeemeissa päädyttiin 56kb/s-maksiminopeuteen. 4 kHz -alipäästösuodatin tarkoitti 8 kHz näytteenottotaajuutta, joten 8-bittinen näytteenotto teki nopeudeksi 64 kb/s. T1-linjaksi useaa kanavaa multipleksatessa tarvitaan signalointia, ja Bellin puhelininsinöörit päättivät ottaa DS1-signaloinnin vaatiman ylimääräisen bitin jokaisesta kanavasta, joten jäljelle jäi 7*8kb/s eli 56 kb/s. Todellisuudessa modeemi ei kuitenkaan kytkeydy tällä huippunopeudella kahdesta syystä. USA:ssa FCC rajoitti modeemien tehoa ja sen perusteella huippunopeudeksi tuli 53,3 kb/s. Puhelinverkko vaatii myös optimaaliset olosuhteet, jotta tähän maksiminopeuteen päästään.

Jatkona viime kerran telco-kuplatarinaan kerrataan Global Crossingin taru. Perustaja Gary Winnick kuoli juuri. 1997 hän perusti Global Crossingin 35 miljoonan dollarin pääomalla. Visiona oli rakentaa ensimmäinen yksityinen maailmanlaajuinen merikaapeliverkko. Winnick kumppaneineen osasi rahoituksen keräämisen ja 1998 yhtiö sai 800 miljoonan dollarin lainan. Saman vuoden pörssilistautumisessa nostettiin 400 miljoonaa lisää. Osakkeen arvon nousu oli rakettimaista ja yhtiön markkina-arvo nousi 47 miljardiin. Sen avulla yhtiö päätti lähteä tekemään yritysostoja. 1999 ostoslistalla oli Cable & Wireless, Frontier Communications, Submarine Cable ja Racal Telecom. Rahaa paloi näihin reilut 13 miljardia dollaria. Nopeasti yritys joutui kuitenkin maksuvaikeuksiin ja pari vuotta myöhemmin se myi Frontierin pois kolmasosalla ostohinnasta. Global Crossing ei tehnyt ikinä voittoa. 2002 se teki konkurssin, joka oli historian neljänneksi suurin. Johto joutui kirjanpitokikkailujen vuoksi petossyytteisiin, mutta selvisi siitä melko vähällä. Global Crossing palasi 2003, osti muutamia yrityksiä, ja lopulta Level3 osti sen. Level3 yhdistyi CenturyLinkin kanssa, joka oli perinyt US Westin, sen jonka Global Crossing yritti alkuaikoina ostaa, mutta hävisi Qwestille. Global Crossing tuli tyhjästä ja osoitti miten liika raha tuhosi sen ja koko alan. Samaa hulluutta on USA:ssa nyt laajakaistarahoituksessa, osin varmaan myös Suomen kuitumarkkinassa.

Wired kertoo Mirain tarinan, jossa on nyt pääosassa Josiah White, botnetin todellinen keksijä. Paras Jha liittyi mukaan myöhemmin ja hänen osuutensa nousi aiemmassa IEEE:n tarinassa enemmän esille. Idea botnetistä lähti siitä, että yhden koneen vaihtuvaa ip-osoitetta vastaan ei pystynyt hyökkäämään. Siispä pojat keksivät laajentaa hyökkäystä pois omista koneistaan laajemmalle palvelinarmeijalle, ja kohteeksi otettiin tracerouten osoittamia ip-osoitteita ennen uhrin konetta. Näin saatiinkin koko verkko kaatumaan. 2014 kaverin keksinnöstä kotireitittimistä tuli hyviä kohteita botnettiin.

Internetin ilmiöitä vuosilta 1977-2007 on kerätty sivulle Internet Artifacts. Verge kertoo SEO-eksperteistä, jotka tuhosivat internetin. SEO-alaa pidetään modernina piratismina, moraalisena turmiona, sääntöjen rikkomisena ja rahan riipimisenä omiin taskuihin muiden kustannuksella. 80% ”eksperteistä” on huijareita. Googlen hakukoneen rooli on iso. Hakualgoritmi on liian suljettu, monimutkainen, epäselvä ja dynaaminen, että siitä kukaan oikeasti voisi ottaa selvää. Joka tapauksessa Google-haun päälle on rakennettu kokonainen toimiala, joka saattaa romahtaa Googlen tekemien muutosten vaikutuksesta. 2010 Googlen Panda-päivitys tuhosi yhden optimointisukupolven työn. Hakutulosten huonontuminen juontaa juurensa Googlen valeuutispaniikista 2016 vaalien alla. Silloin tajuttiin, että suosituin sisältö ei välttämättä olekaan se luotettavin tieto. Niinpä algorimia on muutettu suosimaan institutionaalista tietoa. Toinen syy ovat optimoijat. Googlella on pelisäännöt hakutulosten optimointiin, mutta aina on niitä, jotka kiertävät sääntöjä ja huijaavat systeemiä. Siitä sitten kärsitään kaikki.

New Yorkin ravintoloissa taistellaan botteja vastaan, kun automaattivarausjärjestelmät varaavat kaikki parhaat pöydät ennen ihmisiä. Internetiä vaivaa paskiintuminen eli enshittification, joka on osa rent-seeking-ilmiötä. Yhä useampi yrittää hyväksikäyttää sosiaalista ja poliittista ympäristöä omaksi hyväksi ilman, että tuottaa mitään hyvää yhteisölle. Seurauksena on yhteiskunnan pahoinvointi, tehottomuus, epätasa-arvoisuus ja kaikenlainen rappeutuminen. Internetissä kaupallistuminen on nyt vallannut ihan kaikki alueet. Yhteisöllisyys jäi kun massat valtasivat mediat ja teknojätit ottivat alustat haltuunsa. Alkuperäinen internet ei ehkä skaalautunut massoille.

Google ja Yahoo taistelevat sähköpostin väärinkäytöksiä vastaan pakottamalla yli 5000 postia päivässä lähettäville listan autentikointivaatimuksia. Googlella on 1,8 miljardia sähköpostilaatikkoa, mikä vastaa noin nejäsosaa koko maailman sähköpostikäyttäjistä. Toisaalla Google sitten taas hidastaa Youtube-liikennettä mainontaestojen käyttäjille ja lupaa tehdä samaa Chromen mainoslisäkkeiden päivityksille.

Konferenssit

AWS re:Invent julkisti tekoälybotti Q:n AWS-alustan apuriksi. AWS on ollut tekoälystä aika hiljaa, mutta nyt se alkaa kilpailla Microsoftin kanssa. Pilvessä tekoälyapurille voikin olla paljon hyvää käyttöä, koska alusta on niin monimutkainen ja laaja. Teknologiajohtaja Vogels tiputti seitsemän lakia säästeliäille arkkitehtuureille ja painotti kustannussäästöjen merkitystä myös kestävälle kehitykselle. Modernit arkkitehtuurit auttavat säästöjen saavuttamisessa. Prinsiipit lähtevät siitä, että ei-toiminnalliset ominaisuudet ja kustannukset, kuten tietoturva, pitää huomioida joka vaiheessa, eikä erillisenä itsenäisenä vaatimuksena. AWS pre:Invent-lista on Chris Farrisin kokoelma ennakkojulkistuksista ennen tapahtumaa. Re:Inventin tietoturvaluennot on koottu omalle listalle. Verkon puolelta kiinnostava esitys on AWS:n matka kohti IBN-verkkoa. Kaikki esitykset löytyvät tapahtumasivulta ja Youtubesta.

Microsoftin Ignite vietettiin pari viikkoa aiemmin. Julkistuskirja kertoo mitä uudistuksia tuli ulos. Entra Accessin päivitykset ainakin herättävät mielenkiintoa SASE-markkinassa.

Ensimmäinen verkon automatisointiin keskittyvä Autocon0-konferenssi pidettiin Denverissä. Harmiksi esityksiä ei ole julkaistu kaikille. Packet Pushersin Drew Conry-Murray nostaa esiin tapahtumasta kolme asiaa: verkkoautomaatiolle on valtavasti kysyntää, käyttöönoton ongelmat ovat kulttuurillisia, teknisiä ja budjetäärisiä, ja siksipä valmiille työkaluille olisi paljon kysyntää. Devnetdan koostaa blogissaan konferenssin annin.

Denog15-videot löytyvät Youtubesta.

Tietoturvatapahtumien esityksiä riittää: Hexacon, Virus Bulletin, No Hat, SAINTCON ja MS BlueHat. Ekoparty-esitykset ovat espanjan kielen taitajille.

InfoSecMap-sivu listaa parhaat tietoturvatapahtumat ja -yhteisöt.

Verkkomarkkina

Viisi vuotta 5G:tä ja mitä on jäänyt käteen? 15 vuotta sitten alettiin kehittää millimetriaaltojen hyötykäyttöä 5G:n tukipilariksi. 2015 3GPP tarkensi käyttökohteiksi laajakaistan (eMBB), konekommunikoinnin (mMTC) ja ääriluotettavat viiveettömät palvelut (URLLC). Nyt voidaan todeta, että vain laajakaista on onnistunut liiketoiminnallisesti ja käyttöönotto on ollut jopa odotettua nopeampaa. Yritysasiakkaat ja uusien ominaisuuksien käyttö odottavat vielä, vaikka esim. Kiinassa on otettu askeleita eteenpäin. Maailmanlaajuisesti 5G:llä on tänä vuonna noin 18% markkinaosuus mobiililiittymistä. 37% operaattoreista on ottanut 5G:n käyttöön ja kattaa niillä 40% maailman väestöstä. Jos ulkopeitossa on puutteita, niin sisäverkossa niitä vasta onkin. 80% käytöstä tapahtuu kuitenkin sisätiloissa.

Erillisverkot esittelee raportissaan 5G:n mahdollisuuksia parempaan turvallisuuteen, energiatehokkuuteen ja uusiin käyttökohteisiin. 5G-suorakanavalla voidaan rakentaa yhteys suoraan päätelaitteiden kesken, jos verkkoa ei ole. 5G-verkossa paikannus paranee alle metrin tarkkuuteen ja myös korkeustieto on lisätty mukaan. Se on vaihtoehto satelliittipaikannukselle. 5G:ssa voidaan myös tiedonsiirto varmentaa lähettämällä tieto kahden verkon tai tukiaseman kautta.

Elisa alkaa myydä energiavarastointikonseptiaan muille operaattoreille. Tekoälyoptimoitu tukiasemien akkujärjestelmä tasaa sähköverkon muutoksia ja tarpeita. Elisa suuntaa Pohjois-Euroopan tutulle sähkömarkkina-alueelle. Elisan eläköityvä ja suosittu toimitusjohtaja Veli-Matti Mattila on saanut Kauppakamarin vuoden johtaja -palkinnon.

Valokuitusen kotitalouksien laajakaistan bittihintatutkimuksessa yhteyksien hinta on tippunut 13 senttiin megabitiltä. Viidessä vuodessa hinta on laskenut 55%. Keskimääräinen liittymänopeus on kasvanut 250 Mb/s:iin. Kuluttajat eivät välttämättä itse päivitä nopeuksia, koska reilut 100 Mb/s riittää monelle hyvin. Operaattorit ovat itse pudottaneet hitaimmat nopeudet pois valikoimista. Sama tilanne on Ruotsissa, jossa on menty Suomea edellä. Ruotsin hinnat eivät ole kuitenkaan laskeneet niin nopeasti kuin Suomessa. Openvault näkee laajakaistaliittymissä yhä enemmän tehokäyttäjiä, jotka kuluttavat yli 5 Tb dataa kuukaudessa. Suurin ero peruskäyttäjään tulee upstream-suunnassa, jossa tehokäyttäjä kuluttaa yli yhden teratavun kuukaudessa eli 12 kertaa keskimääräkäyttäjän lukemat. Se voi jo haitata verkon suorituskykyä. Tehokäyttäjillä liittymänopeus on pääosin 1 Gb/s tai enemmän, ja näitä nopeita yhteyksiä on 32% liittymistä. Suurin nopeusryhmä on 200-400 Mb/s. Datan kulutus kasvaa jatkuvasti, mutta ei enää niin nopeasti kuin pandemian aikana. Tehokäyttäjät olisivat operaattoreille rahastuksen ja lisämyynnin paikka.

Viron puolustusministeri kertoi, että kiinalaisalus raahasi jälkien perusteella ankkuria Suomenlahden pohjassa 185 km matkan. Kaikki putki- ja kaapelivauriot ovat yhdistettävissä tähän ja on vaikea uskoa, että kyseessä olisi vahinko. Suomessa on kaksi vanhaa kaapelialusta, joilla merikaapeleita voi korjata. Helsingissä Suursaari ja Turussa Telepaatti. Lisäksi Puolustusvoimilla on käytössä monitoimialus Louhi ja kaksi öljyntojunta-alusta, joilla voi laskea kaapeleita. Suurimmaksi puutteeksi kuitenkin nousee itse kaapeli, jota pitäisi olla omassa varastossa.

Kentikin blogissa ihmetellään miksi merikaapelien katkot joskus pienentävät viiveitä. Taustalla voi olla liiketoimintapäätöksiä, jotka määrittävät mitä kautta liikenteen välitys on kannattavaa. Aina se ei välttämättä ole lyhyin ja nopein reitti. Pilvien välisellä liikenteellä voi myös olla epäoptimaalisia reittejä, koska kaksi toisistaan riippumatonta verkkoa operoi itsenäisesti. Merikaapeliala on yleensäkin sulkeutunut ja viestintä katkoksista ei ole kovin hyvää. Häiriöistä tiedotetaan lähinnä vain omille asiakkaille, vaikka vaikutukset koskevat koko maailman liikennettä.

Cisco Suomen toimitusjohtaja on vaihtunut Janne Tägströmistä Tiina Säämäseen. Ciscon tilauskirjat on nyt tyhjennetty ja ennustetta on tiputettu. Ciscon mukaan yrityksillä on kädet täynnä ostettujen laitteiden käyttöönottoja ja uudet tilaukset viivästyvät. Operaattorimarkkinalla menee huonosti ja toivo on yrityksissä ja tekoälyssä. Ciscon AI Readiness Index osoittaa, että yritykset ovat toteutuksissa jäljessä odotuksia. Mutta miksi investoida tekoälyverkkoon, jos Ciscon ratkaisu on tarjota sinne samaa yleiskäyttöistä Nexus-laitteistoa, joka monella jo on? Cisco on kehittänyt myös tekoälyä kumppanien myynnin seurantaan. Jälleenmyyjien insentiivit muuttuvat ja saattavat muuttaa kumppanikenttää, ehkäpä suosia isompia jälleenmyyjiä.

Myös Juniper, Arista ja muut suuntaavat katseensa tekoälymarkkinaan. Aristan asiakkaista suurin osa on ollut ns. Cloud Titans -asiakkaita eli pilvijättejä. Uusi asiakasryhmä on Cloud and AI Titans, jonka odotetaan muodostavan 40% liikevaihdosta. Aristan tiukka määritelmä näille asiakkaille on ollut miljoona asennettua palvelinta. Apple on tippunut pois Cloud Titans -joukosta tasolle kaksi eli Cloud Specialty -ryhmään. Oracle puolestaan on investoimassa vahvasti tekoälyyn ja on mukana ykkösryhmässä. Oracle on ollut aiemmin vahvasti Infinibandin ja Mellanoxin suosija, mutta nyt ilmeisesti panostaa Ethernetiin.

Nvidian uusi Spectrum-X on Ethernet-alusta tekoälylle. Sitä saa kohta palvelimien mukana Delliltä, HPE:ltä ja Lenovolta. Spectrum-X yhdistää Spectrum-4 -kytkimet, Bluefield-3 DPU:t ja softan yhdeksi tekoälykäyttöön optimoiduksi kokonaisuudeksi. Nvidia yrittää myös nostaa Bluefield-DPU:t SuperNIC-kategoriaan erilleen SmartNIC-kategoriasta. Nokia puolestaan liittyy mukaan Ultra Ethernet Consortiumiin.

Yritysverkoissa trendi on ollut siirtää pääsynhallinta eli NAC pilveen. Juniper Mist, Aruba Cloud Auth, Arista AGNI, Portnox ja nyt ExtremeCloud Universal ZTNA ovat siirtäneet pääsynhallinnan SaaS-palveluksi. Kehitys on luonnollinen, kun identiteetitkin ovat siirtyneet pilveen. Tosin perinteinen RADIUS-protokolla myös alkaa käydä hankalaksi pilvessä ja väliin tarvitaankin lisäkikkareita, jos Microsoftin domain-palveluita ei ole käytössä.

Broadcom sai viimein viimeisteltyä Vmware-kauppansa, kun Kiinaltakin heltisi viimein hyväksyntä Xin San Franciscon vierailun jälkeen. Heti perään kiitokseksi Broadcom kuitenkin ilmoitti vähentävänsä Vmwarelta 2800 työpaikkaa, joista reilut 1200 Piilaakson alueelta. Konttoria ollaan siirtämässä San Josesta Palo Altoon. Samalla lähes kaikki työntekijät 60 mailin säteellä toimistosta pakotetaan konttoritöihin. Kontrasti on iso Vmwaren vapaaseen työkulttuuriin verrattuna.

IPv4-osoitteiden hinta on nyt ohittanut huipun ja laskenut vuoden aikana 50 dollarista 35 dollariin per osoite. Syynä voi olla se, että myytävät osoiteblokit pienenevät ja silloin hintakin on alhaisempi. Myös taloustilanne voi vaikuttaa. Parin vuoden takainen hinnan nousu johtui talouden uudelleenkäynnistymisestä. Hintojen lasku voi merkitä myös, että kysyntä on hiipumassa ja on siirrytty IPv4-kauden loppupuolelle. IPv6 siirtymässä IPv4-palveuihin siirtyminen tapahtuu IPv4aaS-palveluiden avulla eli käyttäen uusimpia muunnosmekanismeja NAT64, DNS64 ja 46XLAT. IPv6-palveluihin pääsy IPv4-laitteilta taas tapahtuu proxyjen kautta yhdessä Server Name Indication (SNI) TLS-laajennuksen avulla. Jopa AWS kehottaa vähentämään IPv4-osoitteiden käyttöä palveluissaan ja rajaamaan käytön sisäverkon palveluihin. IPv6-käyttöön ei aina kuitenkaan ole mahdollisuutta. Pilvikolmikko pitää hallussaan lähes 3,5% kaikista IPv4-osoitteista ja AWS on lopettanut osoitteiden oston. Myyntiin osoitteet menevät vasta kun kysyntä on selvässä laskussa. Samalla osoitteiden hinta luultavasti romahtaa.

Internet Society muistuttaa operaattori-infran hajautuksen tärkeydestä. Yhden konesalin tulipalo Bangladeshin Dhakan Khawaja Toweissa katkaisi 30-40% maan internet-yhteyksistä. Samassa paikassa oli kaksi konesalia, yhdysliikennepiste ja maan kansainvälisten yhteyksien solmut. Bangladeshissä yli puolet transit-yhteyksistä on keskittynyt Hurricane Electricille. Se on riski. Sama ongelmahan nähtiin Italiassa kun TIM:ltä katkesi transit-yhteys ja operaattorin verkko eristyi internetistä. Varmennus maksaa ja siitä usein säästetään. Nykyään yhä suurempi merkitys on konesaleilla ja yhdysliikennepisteillä, joista jaellaan paikallista sisältöä. USA:ssa muistutetaan metsäpalojen merkityksestä laajakaistayhteyksille. Luonnonkatastrofeista syntyy yhä enemmän häiriöitä ja uhkia verkolle.

Dell’Oro määrittelee hajautuneen pilviverkkoteknologian. Sen periaatteisiin kuuluu SaaS, pilvi-integraatiot ja Opex-kustannukset. Teknologioina se sisältää yhden valmistajan SASE:n, WANaaS-palvelun ja monipilviverkot. Analyytikot löytävät tälle kentälle 26 valmistajaa kolmelta eri tulokulmalta. Keskiössä ovat Akamai, Aryaka, Cato, Cloudflare, Versa ja Vmware.

EU:n uusi radiolaitedirektiivi tulee voimaan 2025 ja vaatii kaikilta langattomilta laitteilta uudet hyväksynnät. Etteplanin esityksessä käydään läpi laajemmin EU-sääntelyn tilannetta.

Pilvimarkkina

EU:n valmistelussa oleva pilvipalvelumääritys on aiheuttanut eripuraa. Tiukkaa pilvi-itsenäisyyttä ja protektionismia ajava Thierry Breton ja Ranska saivat antaa periksi, ja viimeisin ehdotusta on löysennetty muiden EU-maiden toiveista. Pelkona oli amerikkalaisten yhtiöiden palveluiden poistuminen EU-alueelta. Google nimeää egress feen data transferiksi. Omien perustelujensa mukaan kyse on vain nimeämisestä, joka vastaa paremmin tuotetta. Voisi ehkä kuvitella, että tällä on jotain yhteyttä EU:n egress feen sääntelyyn, johon Google valmistautuu.

Microsoft laajentaa pilvisovellusten käyttöaluetta avoimella Radius-ohjelmistoalustallaan. Kubernetes on sovellusten siirrettävyyden työkalu, mutta se ei yksin riitä, kun myös tietoturva, kustannukset ja operointi pitää huomioida. Radius yhdistää kehittäjät, alustat ja operoinnin samaan kokonaisvaltaiseen sovellustyökaluun. Recipes- ja Connections-ominaisuudet määrittelevät ja vakioivat tuotantoon viennin ja resurssien automatisoinnin. Express Routeen on lisätty uusia ominaisuuksia ja Azuren Copilot on julkaistu. Security Copilotin toimintaa on avattu videoesittelyssä.

Tekoälymarkkina

Nvidia on julkaissut seuraavan sukupolven H200-GPU:n, joka tulee myyntiin arviolta vasta 2024 Q2:lla. Prosessori on pitkälti sama kuin H100, mutta muistia on parannettu. Nvidia alkaa myös myydä USA:ssa pienin muutoksin Kiinan markkinoille tehtyä A800-GPU:ta, jonka vienti Kiinaan kiellettiin. Kysyntää arvioidaan olevan kotimaassa hyvin. Nvidian omissa testeissä Intelin Gaudi2 tuottaa paremman hinta-teho-suhteen kuin Nvidian H100. Teholtaan Gaudi2 näyttää asettuvan johonkin A100:n ja H100:n välimaastoon. Microsoft on kehittänyt kaksi uutta prosessoria Maia 100:n kovaan tekoälykäyttöön ja Armiin perustuvan Cobalt 100:n yleisiin pilvipalveluihin.

AWS:ää on pidetty asiakkaiden palveluiden kannalta luotettavana toimittajana, mutta nyt on paljastunut, että se käyttää tiettyjen palveluiden asiakasdataa tekoälyn opettamiseen. Asiakas voi poistaa datansa opetuskäytöstä, mutta siitä on tehty hyvin hankalaa ja asiasta ei voi lopulta edes varmistua. OpenAI taistelee osaajista Googlen kanssa tarjoamalla nyt 10 miljoonan dollarin kompensaatiopaketteja.

Forrester kumoaa kolme tekoälyn käyttökohdemyyttiä. Yritysliiketoiminta ei rakenna tekoälymalleja, vaan suurin osa käyttää valmiita malleja isoilta toimijoilta. Rajapintana palveluihin toimii API. Tietoturvakäytössä odotukset tekoälylle ovat kovat, mutta aloittelijoiden toimintakykyä se ei paranna. Enemmän hyötyä tekoälystä on konkareille, jotka saavat niistä vahvistusta omille kyvyilleen ja nopeutta toimintaan. Chatbot ei paras käyttötapa, vaan tekoälyn tulisi integroitua osaksi luonnollista työnkulkua. Hyökkääjäpuolella tekoälyä ei välttämättä omaksuta nopeasti käyttöön, koska siihen ei ole tarvetta. Vanhat keinot purevat yhä hyvin. Tekoälystä ei välttämättä ole apua käytännön murto-ongelmissa ja siihen liittyy logistisia hankaluuksia.

Tietoturvamarkkina

Kybermarkkinassa on akronyymiongelma. Kirjainyhdistelmät kuvaavat tuotekategorioita, joita syntyy koko ajan lisää joko valmistajien tai analyytikkojen luomana. Vanhat kategoriat harvoin häviävät, joten määrä lisääntyy hallitsemattomasti. Ongelmaa vastaan voisi taistella määrittämällä mitä ongelmaa mikäkin kirjainyhdistelmä ratkaisee tai visualisoimalla kategorian markkina-aseman tai kehityspolun. Chris Hughes kritisoi alaa vanhojen oppien ja termien viljelemisestä. Ala ei korjaa itseään, jos ei siltä ostajana vaadi parempaa. Edesauttaako kyberturva oikeasti liiketoimintaa vai onko kaikki vaan sanahelinää.

Kybermarkkinassa on myös liian paljon valmistajia ja niillä aivan liian kova arvostus. 82 yksisarvista ja 36 muuta miljarditason yritystä etsii ostajaa, ja kaikille ei riitä kakusta palaa. 2021 oli optimismin huippuvuosi, mutta nyt tilanne on taas tasaantunut. Silti näille miljardiyrityksille ei ole helppo löytää ostajaa. Vain muutama iso ostos on nähty parin vuoden aikana. Listautuminen on toinen vaihtoehto, mutta niissäkin on noussut tie pystyyn. Todellisuus on nyt tylsää. Päätänsä nostavat kuitenkin strategiset hankinnat ja yhdistymiset, joissa kaksi yhtiötä muodostaa yhdessä paremman kokonaisuuden. Kasvu ei ole enää ainoa mittari, kestävä suorituskyky on nyt olennaista.

Taloustilanteen takia suuri määrä kasvuyrityksiä tulee kaatumaan tänä ja ensi vuonna. Ne, jotka tarjoavat arvoa ja, joilla on toimiva liiketoimintamalli, selviävät. Sijoitusraha ei enää määrää niin selvästi kasvua, vaan tarvitaan selkeä arvolupaus ja asiakassegmentti, nopeaa liikevaihdon käynnistymistä ja tulovirtojen laajentamista, vanhoillisten rekrykäytäntöjen kehittämistä ja markkinointirahasta nipistämistä. Ihmisten muisti on lyhyt, joten kestävän kehityksen kausi ei välttämättä ole kovin pitkä… Samaa viestiä toistaa Mark Curphey blogissaan.

Miten sitten tuotteita myydään? Kyberalalla on kolme kohderyhmää: yksityishenkilöt, pienyritykset ja yritykset. Jos keskitytään isompiin yrityksiin, niin perinteisesti tietoturvaa on myyty johtajille, jotka luottavat kanavakumppaneihin, jotka myyvät 90% tuotteista. Kentän monimutkaistuessa CISO:t ovat oppineet luottamaan analyytikoihin. Siksipä kasvuyrityksetkin ovat alkaneet investoida analyytikkosuhteeseen. Kanavaan panostaminen kannattaa. B2B-myyntipolku on kuitenkin pitkä ja sekava, samoin kumppanisuhde vaatii työstöä puolin ja toisin. Uusi kanava on data-alustat. Kun data on imetty omalle alustalle, datan käsittelyyn on luontevaa myydä työkaluja. Pienyrityksiin soveltuu vCISO-lähettiläs, joka voi viedä viestiä ja ratkaisuja yrityksiin. Isommissa yrityksissä omat työntekijät voivat vaikuttaa hankintapäätöksiin, jos he vain voivat helposti kokeilla tuotteita. Microsoftin malli on bundlata kaikki myynti eri toimialueiden välillä. Myös kybervakuutusyhtiöt tai sijoittajat voivat olla myyntikanava, ja toisinpäin jakelija voi olla hyvä investoija.

SDxCentralin lukija-analytiikka kertoo miten markkinan kiinnostus SD-WAN:sta on muuttunut SASE-valtaisemmaksi. Nyt haetaan tietoa yhden valmistajan SASE-ratkaisustaa tai tietoturvallisesta SD-WAN:sta. Lukijatilastojen mukaan suosituimpia valmistajia ovat nyt Cisco, Paloalto ja Fortinet, ja nousussa ovat myös Checkpoint, Cato, Versa, Zscaler ja Cloudflare. Aruba, Juniper ja Vmware ovat tippuneet sijoituksissa. Microsoft laajensi Entra Accessin ominaisuuksia. Olennainen kysymys on hinta, koska odotukset kohdistuivat E5-lisenssiin. Siihen ei ole nyt vielä selvyyttä. Microsoft myös yhdistää Sentinel SIEM:n, Defender XDR:n ja Security Copilotin uudeksi yhtenäiseksi SOC-alustaksi.

Paloalton alustastrategia on tehnyt alalla vaikutuksen ja sitä ruoditaan nyt Francis Odumin analyysissä. Paloalton tuotteet jakautuvat kolmeen kategoriaan. Verkkotietoturva ja Zero Trust sisältää perinteiset palomuurit ja SASE:n. Palomuurimyynti ei kasva ja siihen ei juurikaan panosteta. Tulevaisuus on SASE:ssa ja palomuurien odotetaan häviävän viiden vuoden päästä, tai ainakin muuttuvan epäolennaisiksi. Pilvipuolella tavoite on suojata koodi, infra ja ajoalustat. Prisma Cloud on markkinoiden kattavin paketti ja sen merkitys tulee varmasti ylittämään verkkotietoturvan roolin. Rohkein visio on kuitenkin Cortex-perheessä. Autonomista SOC:ia rakennetaan yhdistämällä kaikki yhteen XSIAM-alustaan. Asiakkaita on nyt yli 5000 ja tilauskirjassa miljardin varaukset. Yrityksille investoinnit ovat isoja ja siirtymät pitkiä. Tuloksen osalta Paloalton kasvu on kaksinumeroista 16-19% luokkaa lyöden kovimmat kilpailijat. 83% liikevaihdosta tulee jatkuvasta laskutuksesta ja sovellusliiketoiminta on hurjassa 53% vuosikasvussa. Paloalto yhdistääkin itsensä enemmän Zscaleriin ja Crowdstrikeen kuin perinteisiin palomuurivalmistajiin.

Paloalto on yhdistänyt palomuuri- ja SASE-hallintaa saman pilvipalvelun alle Strata Cloudiin. Paloalton Dig-kauppa on vahvistunut ja uutena hankintana on Talon Security. Molemmat Israelista. Splunk ilmoitti irtisanovansa 7% työntekijöistä eli yli 500 henkeä.

Kyberturvallisuus

Traficomin 100000 euron tietoturvatuet jaetiin loppuun. Hakijoita oli 150 ja tukea sai 24 yritystä. Kaikesta varatusta kuuden miljoonan määrärahasta on jakamatta vielä miljoona, joka jaetaan 15000 euron tukina noin 60 yritykselle. Tietoturva ry on palkinnut vuoden parhaat tietoturva-aiheiset opinnäytetyöt. Sivulla on linkit töihin, joista voi ammentaa oppia ja ajatuksia omaan työhönsä. Google on ilmoittanut investoivansa 10 miljoonaa dollaria kyberkoulutukseen Euroopassa yliopisto-ohjelmien kautta. Darwin Salazar listaa nuoresta iästään huolimatta pätevät opit kyberalasta, käytännöistä, tuotteista, urasta ja elämästä.

Kybertyöläisten määrä maailmassa on nyt arviolta 5,5 miljoonaa. Silti neljä miljoonaa tekijää tarvittaisiin lisää ISC2:n raportin mukaan. Cyberseekin mukaan USA:ssa on nyt reilut 1,1 miljoonaa kybertyöläistä ja avoinna 660000 kybertehtävää. Kaikkiaan jopa 1,8 miljoonaa ihmistä työskentelisi kyberalalla. Se on noin 1,1% USA:n työväestöstä, enemmän kuin esim. lääkäreitä, juristeja tai kirjanpitäjiä on. Määrää enemmän kyse on laadusta. IT-infra muuttaa muotoaan ja pilvi on abstraktoinut alla olevan tekniikan pois näkyvistä. Yhä harvempi ymmärtää miten järjestelmät oikeasti toimivat. Toiseksi tietoturvasta on tulossa yhä enemmän sovelluskehitystä. Ei ole realistista olettaa, että miljoonia ihmisiä palkataan valvomaan ja analysoimaan tapahtumia. Sekä ihmisiä että työkaluja tarvitaan. Työkaluja pitää itse kehittää ja soveltaa omaan käyttöön, siihen tarvitaan sovelluskehittäjiä, jotka voivat heti tuoda arvoa mukanaan. Tietoturva pitää ymmärtää kurinalaisena lajina, jossa ymmärretään tekniikkaa ja miten se saadaan tekemään sitä mitä sen pitäisi tehdä. Valmistajilla on iso rooli järjestää työkaluja saataville, koska muuten uusia osaajia ei saada markkinoille. Jos et ole käyttänyt tuotetta X, sinua ei palkata, ja osaamista ei saa, jos ei ole jo alalla ja yrityksessä, jossa ko. tuottaa käytetään.

Daniel Miessler vertaa Solarwindsin tapausta Enroniin. Kyberturvassakin on kyse sotkuisen magian sijasta kirjanpidosta. Siksipä olisi luontevaa tehdä kyberjohtajasta kyber-CFO, jolloin hänen pitäisi ajatella vastuullisemmin allekirjoittaessaan raportteja kuin talousasiakirjoja. Tai kyberjohtajan voisi nostaa johtoryhmätasolle, jolloin laajempi riskiymmärrys kasvaisi, mutta rooli säilyisi liiketoimintalähtöisenä. Näillä muutoksilla tietoturvasta tulisi enemmän taloutta kuin hakkerointia, vähemmän taikuutta kuin exceliä, ja vähemmän luovuutta kuin jäljitettävyyttä. Tämä tietysti myös vähentäisi alan cooliutta.

Microsoftilla on oma hetkensä nostaa tietoturvan tasoa. Uusi aloite aikoo parantaa yrityksen käytäntöjä parantamalla ohjelmistokehityksen laatua, suojaamalla identiteettejä paremmin ja reagoimalla haavoittuvuuksiin nopeammin. Pääpaino on pilvipalveluissa. Ala muistaa Bill Gatesin Trustworthy Computing 2.0 -ohjelman vuodelta 2002 ja siihen verrattuna tämä julkistus on tuottanut joillekin pettymyksen tunteita.

Kiinalaisten hakkereiden toimintatavat ovat muuttuneet viime vuosina hienostuneemmiksi, ovelammiksi, vaikeammin havaittaviksi ja erittäin kohdistetuiksi. FBI kertoo, että amerikkalaisiin pienempiin kasinoihin on murtaudutta kolmannen osapuolen pelivalmistajien kautta. Myös tavallisia valmiita olemassa olevia työkaluja käytetään entistä enemmän hyväksi, varsinkin pienemmissä kohdeyrityksissä. MGM ja Caesars häkättiin eri tavalla. FBI on ollut näiden hyökkääjien jäljillä yli puoli vuotta, mutta ei ole saanut ketään kiinni. CISA profiloi tätä Scattered Spider -ryhmää ja ReliaQuest sen toimintaa. Elliptic ja Corvus penkovat tilastoja Black Basta -ryhmän uhreista. Risky Business listaa kovimmin tienaavat ryhmät, joiden kärjessä on Ryuk ja Revil yli 100 miljoonan dollarin tuloilla. Lockbit on kiristänyt sääntöjä, kun kumppanit ovat antaneet liian isoja alennuksia lunnasneuvotteluissa. Yrityksille on määritelty liikevaihdon mukaiset maksuluokat ja yli 50% alennuksia ei suvaita.

Ponemon instituutin raportti kuvaa sisäisten uhkien riskiä, joka voi tulla huolimattomista kumppaneista, vihamielisestä työntekijästä tai tunnusvarkauksista. Fortinetin ennustukset ensi vuodelle lupaavat isompia hyökkäyksiä merkittävämpiin kohteisiin. Ensi vuonna on myös isoja massatapahtumia, jotka ruokkivat iskuja. Checkpointin selvityksessä käydään läpi miten Windowsin ja Linuxin kiristyshaittaohjelmat ovat kehittyneet ja miten hyökkääjät operoivat eri alustoilla. Avoimen koodin uhkia tutkii Aqua ja se nostaa esiin puolipäivähaavoittuvuudet. Ne ovat ylläpitäjän tiedossa, mutta tulevat julki kun päivitystä ei ole vielä saatu valmiiksi. Tällaisiin tilanteisiin näkyvyyttä antaa CVE Half Day Watcher -työkalu.

Uhkaraportteja sataa: Google, Sophos, Trellix, Withsecure, Avast, Chainguard ja Guidepoint julkaisivat versionsa. NCSC:n vuosiraportissa katsotaan mitkä uhkakuvat Britanniaa odottavat. Corvus tilastoi kiristyshaittaohjelmahyökkäykset. Lokakuussa julkaistiin 248 uhrin tiedot. Lokakuu ei ollut kovin hyökkäyskuukausi, mutta kasvua on lähes 55% viime vuodesta.

Datadog kartoittaa pilvitietoturvan tasoa. Selvityksen tuloksena todetaan, että pilven turvallisuus on parantunut. Ehkä siksi, että alustat ovat lisänneet turvallisia oletusasetuksia, tai siksi, että ympäristöjä arvioidaan ja skannataan enemmän ja kriittisemmin.

ENISAn raportti NIS-investoinneista kertoo miten yritykset valmistautuvat direktiiviin. Esiin nousee kybervakuutusten suuri määrä: noin 42% yrityksistä on ottanut kybervakuutuksen viime vuonna. Kyberinvestoinnit eivät ole nousseet ja ala on stabiilissa tilassa budjetoinnin ja resursoinnin suhteen.

Uusi haavoittuvuuspisteytysjärjestelmä CVSS 4.0 on julkaistu. Mittareita on muutettu niin, että koko asteikko tulee paremmin käyttöön. OT/ICS/IoT-haavoittuvuuksille on omat mittarit, jotka kuvaavat paremmin käytännön riskiä. Myös arviointia ja priorisointia helpottavaa metriikkaa on lisätty. Nucleus Security esittelee luokitusta tarkemmin videolla. Laskin löytyy FIRST:n sivulta.

Myös Mitre on julkaissut uuden version 14 ATT&CK-viitekehyksestä. Se tuo lisäyksiä havainnointiin, ICS- ja mobiilijärjestelmiin. Versio 14 sisältää nyt 760 sovellusta, 143 hakkeriryhmää ja 24 kampanjaa. OWASP10-lista on ollut sovellustietoturvan ohjenuora 15 vuoden ajan. Nyt Crashoverride lyttää listan merkityksen. Se on valmistajien markkinointimateriaali, joka ei perustu operatiivisten toimijoiden näkemyksiin. Listan tekijöihin, tietoon tai prosessiin ei voi luottaa, ja lista ei ole tehokas apuväline. Nyt olisi aika korjata sisältö kuntoon ennen kuin listan merkitys katoaa kokonaan.

Microsoft liittyy mukaan MFA-pakottajiin, kun se lisää MFA:n pakolliseksi Azuren, M365:n ja Exchangen admin centereihin. Paloalto kuvaa EleKtra-Leak-kampanjaa, jossa hyödynnetään vuotaneita IAM-oikeuksia julkisista Github-repoista. Kuten aiemminkin on todettu, pilvitallennusta käytetään hyväksi. Nyt Discord vaihtaa tiedostolatauksien linkit määräaikaisiksi. Tiedostot ja linkki tuhotaan 24 tunnin jälkeen. Whatsapp suojaa puheluiden ip-osoitteita kuljettamalla liikenteen omien palvelintensa läpi häivyttäen osoitteen. Toinen suojaus hiljentää tuntemattomat puhelut ja estää automaattisten haittaohjelmien levityksen.

Google on tuonut markkinoille taas uuden TLD-domainin .meme. Se on myös alkanut lisätä Play-kaupassa tutkittuihin VPN-ohjelmiin merkin, josta ne erottaa edes jotenkin huonolaatuisista tuotteista.

NCSC yrittää määritellä IoC:t standardimuotoon RFC9424:ssa. ETSI on äänestänyt TETRA-salausalgoritmien julkaisemisen puolesta ja päättänyt luovuttaa algoritmit julkiseen tarkasteluun.

Tekniikka ja kehitys

Ethernetin täytti 50 v. Nopeuksien kehitys on ollut lähes lineaarista, vaikka 10G:n jälkeen vauhti onkin hieman hidastunut. Roadmapissa on 1,6 Tb/s 2020-luvun loppupuolella. IEEE kertaa Ethernetin historiaa ennen standardointia.

Sharada Yeluri avaa taas pitkästi tekoälyfabricien tekniikkaa kirjoituksessaan. Miten GPU-klustereita voidaan skaalata ja optimoida? Verkoissa voidaan käyttää myös erikoisempia optimoituja topologioita, kuten rail-only tai dragonfly. Yksittäisissä kytkimissä pystytään skaalaamaan nyt 51,2 Tb/s -nopeuteen eli 128x400G-portteihin. Modulaarissa laitteissa määrä voidaan kasvattaa 4-8-kertaiseksi. Kaapelointimäärä tippuu olennaisesti, mutta myös blokkaavuus vähenee. Laitteissa on usein myös isot puskurit ja niitä voidaan käyttää ajastetuissa fabriceissa. Tekoälykäytössä liikenteenhallintatekniikat ovat tutut kuormanjako, pakettien spreijaaminen, fabricin ajastus ja ruuhkanhallintasignalointi. Jos ne toimivat Infinibandissä, kyllä ne toimivat Ethernetissäkin. Kehitys on Ethernetin puolella kuitenkin vasta aloitettu, joten menee jonkin aikaa, kunnes tekniikka saadaan hiottua käyttökuntoon. Kysymys kuuluu: tarvitaanko isoja yli 32000 GPU:n klustereita, jos useampi pienempi klusteri on suorituskykyisempi?

Netgate esittelee Vector Packet Processing -tekniikkaa (VPP), joka vauhdittaa monia verkkolaitteita. Alun perin se on Ciscon kehitystä, mutta nyt julkaistu avoimeksi koodiksi. VPP:llä saadaan softalla tehtyä kernelin pakettikäsittelyä tehostettu kahdella dekadilla.

BGP-daemoneissa on eroja miten ne suhtautuvat yhteysavauksiin. Internetistä löytyy yli 3 miljoonaa avointa TCP 179 -porttia, mutta suurin osa sulkee yhteyden heti kun vastapää ei ole tiedossa. Kuitenkin yli 380000 ip-osoitetta lähettää BGP-viestin takaisin. BGP-kovennuksen periaatteita olisi, että ei avata osoitteita julkisiksi, vaan vain määritellylle vastapuolelle. TTL-tarkastus ja rajoitus estää kaukaiset yritykset.

Juniperin MX304 on paljon vauhdikkaampi asentamaan reititystauluja kuin sen edeltäjät. Testeissä se pystyy oppimaan 47000 reittiä sekunnissa. Reilun miljoonan reitin taulussa menee aikaa 25 sekuntia. PTX-laitteissa käytetään reititystaulun pakkausta, koska ASIC:n kannalta tallennuksesta tulee kallista. Yksinkertaisella algoritmillä voidaan saada pakkaustehoksi jopa 82%, mutta käytännössä pakkaus tiivistää taulun kokoa 50-65%. CIDR Report listaa miten operaattorit agregoivat tai hajottavat ip-allokaationsa. David Roy kertoo miten PTX:n ympäristömuuttujia valvotaan OpenConfig-telemetrian kautta.

Meta on poistamassa IPv4-osoitteita edge-verkostaan jo tämän vuoden puolella. Metan sisäinen liikenne on jo täysin IPv6:sta, mutta käyttäjiltä tuleva liikenne vain 37%:sti. Meta haluaa kahdesta protokollasta eroon ja IPv4-osoitteiden kanssa on tullut jo skaalausongelmia. Muita ongelmia on havaittu mm. ECMP:n kuormanjaossa, v4-liikenteen tippumisen kanssa tietyissä alustoissa ja porttilaskureiden epäjohdonmukaisuuksina.

KaonBytes-blogissa kerrotaan miten konesaliverkko muodostetaan koodina Arista CloudVisionilla DevOps-tyyliin. Peter Phaal valvoo SC23-konferenssin liikennettä flow:n avulla. Aristan kytkimistä saadaan kivasti esiin pakettihäviöt ja niiden syyt hyödyntäen Broadcomin Mirror on Drop -ominaisuutta. Sama toimii siis kaikissa Jericho 2 -kytkimissä. Data-alustana on avoimen koodin Prometheus ja Grafana. Samoin muuta TCP-metriikkaa, kuten RTT:tä, paketin kokoa ja pakettimäärää voidaan mitata. Wifissä liikennevalvonnan avulla voidaan rakentaa heatmap, joka kuvaa käyttöpaikkojen aktiivisuutta.

AWS on parantanut aikasynkronointipalvelunsa tarkkuutta ”alhaiseen kahden numeron” mikrosekuntitasoon. Alle 40 mikrosekunnin tarkkuuteen pääseminen on mahdollista, mutta riittääkö se kaikille? NTP tai PTP pilvessä onkin mielenkiintoinen kysymys. Ihan muuten vaan turhana tietona, tiesitkö että Unixin aikaleima ylitti 1700000000 12.11.2023? 2000000000:n rajapyykki rikkoutuu toukokuussa 2033.

Konesalissa prosessorit käyvät kuumina, koska chiplet-rakenne johtaa suurempaan lämmöntuottoon. AMD sanoo, että tilanne on tullut jäädäkseen, vaikka tietysti parannuksia etsitään. Tehokkaat pöytäkoneetkin alkavat vaatia nestejäähdytystä.

Forrest Brazeal toteaa, että oman konesalin pyörittäminen pilviaikakaudella on nostalgiahakuisuutta. Aika kultaa muistot ja ennen asiat omassa konesalissa eivät olleet todellakaan paremmin. Pilvi on kuitenkin kirittänyt myös on-prem-ratkaisujen kehitystä merkittävästi, mutta samat ongelmat ovat yhä entistä vahvempina siellä taustalla. Pilvi antaa mahdollisuuden kehittyä ja kasvattaa osaamista. Kuukausilasku on nopea palautekanava ja kehittyneet käyttäjät osaavat alentaa kustannuksia valitsemalla kustannustehokkaimmat oletusvalinnat.

Googlen SRE-käytännöistä on koostettu 11 oppia, jotka heijastelevat koettuja ongelmia. Testaaminen ja varautuminen korostuvat listalla.

Katuviisautta jakaa Fiber Optic Assiciation, joka löysi kuidun pätkän ja yritti selvittää mitä sen merkinnät kertovat. Kaapelimerkinnät kertovat yllättävän paljon kaapelin koosta, painosta, taivutuksesta, vedosta ja tietysti kuitujen määrästä ja tyypistä.

NCSC on julkaissut oppaan yrityksille kvanttiajan salaukseen valmistautumiseksi. Aallon tutkimusjohtajan Mikko Mönttösen mukaan kvanttiherruus eli tuhannen kubitin kvanttikoneet ovat vielä 10-15 vuoden päässä. Laskentakyvyn skaalaaminen ei ole nyt päätavoite, vaan luotettavuuden kasvattaminen. Kvanttitutkimus perustuu 1964 perustettuun Otaniemen kylmälaboratorioon, jonka ympärillä pyörii nyt 150 miljoonan euron liikevaihto, parikymmentä yritystä ja tuhat työntekijää. Tutkimuksen vuosibudjetti on noin 45 miljoonaa euroa. Aliro Quantum esittelee todellisia kvanttiverkkohankkeita. Ensimmäinen verkko oli DARPA:n kymmenen noodin QKD-verkko USA:ssa 2003. Projekti lopetettiin 2007. Verkko ei sisältänyt isomman skaalaan vaatimia vahvistimia, mutta oli merkittävä askel nykyisille verkoille. 2021 rakennettiin ensimmäinen moninoodi-engtanglement-verkko. Viime vuosina investoinnit ovat pompanneet uudelle tasolle ja verkkoja on syntynyt enemmän. Kiina investoi eniten, mutta yllättäen EU on selvänä kakkosena.

Työkalut ja operointi

Verkon avoin kirjasto opetukseen, tutkimukseen ja opiskeluun löytyy Illinoisin yliopiston sivulta. Command Line Interface Guide CLIG opastaa oikeanoppisien komentoriviohjelmien tekemiseen. Nykyään CLI on katoavaa kansaperinnettä, koska se sotii yritysten maksumuureja ja sovelluskauppoja vastaan. Kuitenkin CLI:llä voi tehdä kaiken monipuolisesti ja hyvin hienostuneesti, ja se ei vanhene ja muutu yhtä nopeasti kuin järjestelmän muut osat.

Verkon tarkkailua voi tehdä ilmaistyökalu Suzie Q:lla, joka tukee eri laitteita, aikaperustaista analyysiä ja toimii tietysti CLI:ltä. Packet Coders alustaa aiheeseen. Tietoturvahavainnoinnissa taas laadukas rikastettu tieto on rautaa. Ian Cooper käy läpi pilvialustojen näkyvyyden turhauttavimmat ongelmat: lokitus on pois päältä, tai jos se on päällä, lokitiedon laatu on surkea.

Azure Checklist on päivitetty versioon 1.4.0. Azure Speed Test 2.0 testaa selaimelta kaikkien pilvialueiden Blob Storagen viiveen ja näyttää kuvaajan historiatiedosta. Vastaava AWS Speed Test löytyy myös, mutta se ei ainakaan minulla toimi.

AWS:n blogissa esitellään ECS:n konttiajon kuusi suojaussuositusta  ja datan käytön rajausta vain haluttuihin verkkoihin. AWS Kill Switch on työkalu, jolla voi hätätilanteessa poistaa tai rajata AWS-tilien käyttöä erillisellä tietoturvatunnuksella.

IceKube on WithSecuren julkaisema työkalu Kubernetes-klustereiden hyökkäysrajapintojen etsimiseen. Kubernetes for SOC opastaa Kubernetes-maailmaan SOC-näkökulmasta mm. havainnoinnin ja uhkamallinnuksen kautta.

Toimitusketjun suojausmateriaalia on kerätty Vishal Gargin repoon. Awesome-GPT-Agents listaa tekoälyn kyberagentteja ja Awesome Threat Intel Blogs uhkatietolähteitä. Googlen Localtoast on konfiguraatioskanneri, jolla voi tsekata vaikka CIS Benchmarkin mukaan järjestelmien kovennuskonfiguraatiot. Have I Been Squatted tarkistaa onko domain typosquattingin kohteena.

Hallucination Leaderboard pitää kirjaa Kuinka usein tekoälymalli keksii omiaan yhteenvetäessään tekstiä. Vähiten virheitä tekevä malli on GPT4 97% tarkkuudella. Positive Hacker News RSS feed on pelkkää uutisposia, jota tuotetaan tunneanalyysillä.

Yrityskulttuuri ja työelämä

Eyvonne Sharp kertoo mitä liiketoimintatulokset tarkoittavat IT-osastolle, joka on tottunut teknisiin saavutuksiin. Liiketoiminta tähtää yrityksen tuotteiden myntiin ja investoi parantaakseen tulosta. IT:n pitää pystyä osoittamaan parannuksia liiketoiminnan tuottavuuteen, jotta heidän omat investointinsa olisivat kiinnostavia ja yleensäkin mahdollisia. Tässä usein menee vikaan. Ei pidä uskoa, että liiketoimintaihmiset ovat tyhmiä ja erillään tekniikkaosastosta, se on tuhoisa tie. IT on osa liiketoimintaprosessia ja vaikuttaa lopputuloksiin. Molemmin puolin pitää ymmärtää ongelmia ja ratkaisuja. Päätöksiä tekevät ihmiset, ja ne eivät synny tyhjiössä. Kun itse ole kiinnostunut liiketoiminnasta, mittareista ja ihmisistä, ymmärtää asioita laajemmin ja pystyy tekemään parempia ratkaisuja. Ratkaisuiden pitää olla liiketoimintaan sopivia ja sitä tukevia. Se on tärkein asia yrityksen menestyksen kannalta.

Rekryihin apuja tarjoavat Arpibita Biswas esityksessään tietoturvarekryistä, ja Daniel Dib avoimemmalla kysymyspatteristolla verkkotekniikasta.

Kalle Happosen Agile-blogi päättyy pitkän ajan näkymään. Hyvin suunniteltu ja operoitu palvelu pitäisi kehityksen ja operoinnin määrän tasaisena koko elinkaaren ajan. Näin harvoin käy, koska palvelun pitäisi lisätä ajan myötä arvoa tai kasvaa. Hallinnollinen taakka lähtee helposti kasvamaan. Ihmisten vaihdokset aiheuttavat notkahduksia, teknistä velkaa joudutaan usein ottamaan ja alustan rautavalinnat saattavat olla aikapommeja. Eli päätöksiä tehdessä pitäisi nähdä koko pidemmän ajan kuva vaikutuksineen ja eri parametrien valossa.

Ian Hickson kertoo 18 vuoden uran perusteella miten Googlen toiminta on muuttunut. Aluksi kaikki googlelaiset olivat aidosti hyvän asialla, vaikka julkisuudessa aloitteita teilattiin aika kovalla kädellä. Alun Google oli hyvä työpaikka, johto oli läpinäkyvää ja objektiivista. Kulttuuri kuitenkin rappeutui ja päätöksiä alettiin tehdä päätöksentekijöitä itseään varten. Läpinäkyvyys katosi, tietoa hillottiin piilossa kaikilta. Visiosta tuli epäselvä. Moraali tipahti ja nopeaan tulokseen pyrkivät irtisanomiset tulivat mukaan. Syytä voi vierittää Sundar Pichain päälle, koska visionäärinen johtajuus puuttuu ja kulttuurin ylläpito ei kiinnosta. Ongelma leviää epäpätevässä keskijohdossa, jota on työntekijät ovat opetelleet käsittelemään ”oikein”. Strategia on niin epäselvä, että sitä ei ymmärretä, pyynnöt ovat epäjohdonmukaisia ja johtaja ei ymmärrä tiiminsä toimintaa. Insinöörejä käsitellään massana huomioimatta osaamista ja omaa tahtoa. Palautetta ei oteta vastaan. Vielä olisi mahdollista kääntää suuntaa, jos vain ylintä johtoa ravisteltaisiin kunnolla niin, että resursseja siirrettäisiin tuotekehitykseen ja arvon tuottamiseen käyttäjille.

Harvardin tutkimus paljastaa, että toimistolla palkka ja osaaminen kehittyvät parhaiten. Vaikka etätyössä konkareiden tuottavuus kasvaa ja palkkakin saattaa nousta nopeammin, uusien tulokkaiden mentorointi ja perehdytys jäävät vähäisiksi. Pidemmällä ajalla tästä on haittaa koko yritykselle. Lähitöissä kehittyminen ja sen myötä palkankorotukset ovat kuitenkin pidemmällä ajalla suuremmat. Tutkijat suosittelevat, että yrityksissä oltaisiin kokonaan joko etä- tai lähitöissä. Hybridimallissa pitäisi kaikilla olla samat etäpäivät. Työntekijöiden mentoroinnissa ja perehdytyksessä voidaankin siirtyä jatkossa muodollisempaan koulutukseen.

Young Generation in Tech -tutkimus kartoittaa nuorten työelämätuntemuksia Euroopassa. Nuoret arvostavat toimistolla oloa, vaikka hybridimalli on tärkeä. Yli puolet sanovat, että työ vaikuttaa mielenterveyteen. Työn mielekkyys ja positiivinen vaikutus maailmaan on tärkeää. Taloudellinen epävarmuus on vienyt luottamuksen työuraan, mutta silti lähes 80% on tyytyväinen tekoälyn vaikutukseen työpaikoilla, koska se lisää tuottavuutta ja luovuutta.

Durhamin yliopiston tutkimus osoittaa, että videoneuvottelun taustakuva vaikuttaa voimakkaasti mielikuvaan henkilön pätevyydestä. Luotettavin ja pätevin vaikutelma tuli kirjahyllyistä ja viherkasveista. Mursujäätiköt ja muut keinotekoiset maisemat laskivat luottamusta.

Leave a Reply