Miten tästä puisevasta Excel-taulukosta…

…päästään tähän yleisöystävälliseen infografiikkaan?

Bloomberg Businessweekin Jennifer Daniel kertoo vaihe vaiheelta.

[via Olli/Nonfiktio.fi]

Mitä saadaan kun Googlen kuvahakuun syötetään läpinäkyvä kuvatiedosto ja jatketaan hakua aina ensimmäisellä tuloksella? Jotain kaunista:

Search by Image, Recursively, Transparent PNG, #1 (2011) from kingcosmonaut3000 / Sebastian Schmieg on Vimeo.

Avaa video YouTubessa

Tietoturvayhtiö Sophoksen pistokokeen mukaan jopa 66 %:ssa (N = 50) löytötarvoihin päätyvistä USB-muisteista on haittaohjelmia.

Äkkiseltään luku kuulostaa hälyyttävältä, mutta minusta huolestuttavampaa on, että tutkimusaineiston keräysmetodin perusteella australialainen RailCorp huutokauppaa lunastamattomat USB-muistit eteenpäin ilman niiden tyhjentämistä. Luulisi, että yhtiöllä riittäisi sen verran kunnioitusta asiakkaidensa kadottamaa dataa kohtaan, että mieluummin tuhoaisi tikut kuin päästäisi niitä vääriin käsiin.

Etenkin kun huutokaupassa tikkuja kärkkyvät ovat kaikesta päätellen liikkeellä tirkistelymielellä, Sophoksen raportin mukaan tikkujen hinnat huudettiin yli niiden teknisen nimellisarvon. 

Esitänkin nyt avoimen haasteen: Nyt tarvitaan kartoitusta löytötavaroiden loppupisteinä toimivien puulaakien käytännöistä dataa sisältävien laitteiden (USB-muistit, kännykät, tietokoneet, jne.) käsittelyn suhteen.

Esim. Tampereen yliopiston toimintaohjeet löytötikkujen suhteen ovat esimerkilliset, mutta listojen perusteella löydettyjä USB-muisteja ja kännyköitä huutokauppaavan Helsingin Pantti Oy:n tietosuojakäytännöistä ei ainakaan verkon perusteella saa mitään käsitystä. Mainittakoon, että Helsingin Panttia meklarinaan käyttää myös Helsingin poliisi. En myöskään löytänyt myöskään mitään selostusta Suomen poliisin tietosuojakäytänteistä huutokaupattavien tavaroiden osalta.

Pieni julkinen keskustelu voisi selventää tilannetta ja parhaimmillaan pöllyyttää käytäntöjä niin, että näitä hiljaisia tietovuotoja saadaan karsittua. 

(via Tietokone.fi)

Törmäsin juuri HS.fissä uutiseen Virginia Techin uudesta ampumatapauksesta. Sosiaalisen median käyttökulttuurista kiinnostuneena kiinnitin huomioni jutun alalaidassa olleeseen Twitter-viittaukseen:

…mutta perillä odottikin ylläri:

Omia sisältöjään markkinoivaa uutismediaa ruudullinen toisensa jälkeen.

Siellä missä ennen näki osanottoaan ilmaisevia yksilöitä, on nyt osanottoaan ilmaisevia brändejä: 

Kesäisten Lontoon mellakoiden kulkua edelleen kartoittava The Guardian (hatunnosto pitkäjänteisyydestä!) on julkaissut sivuillaan sangen Riot rumours: how misinformation spread on Twitter during a time of crisis -osion, joka interaktiivisen infografiikan avulla kuvaa virheellisten huhujen syntymistä, leviämistä ja kumoutumista Twitter-verkostopalvelussa.

Toiminto vaatii selaimelta Flash-tuen, joten mobiilikäyttäjien iloksi ohessa muutama ruutukaappaus:

(via @touqo)

Onko kokemuksesi, että Windows Phonen* tai iPhonen käpistely tuntuu aina miellyttävän sujuvalta ja Androidin jälkimaku on useammin vain "ookoo" tai "meh"? Vai kuittaatko iPhonistien diggailun huuhaana?

Jos aihe kiinnostaa kummasta suunnasta katsottuna tahansa, niin kannattaa lukea Androidin kehitystiimissä työskennelleen Andrew Munnin teksti, joka pyrkii vastaamaan Munnin muotoilemaan kysymykseen: Why is Android laggy, while iOS, Windows Phone 7, QNX, and WebOS are fluid? 

Spoilaan maistiaisiksi hieman: Munnin mukaan yksi syy piilee järjestelmien tavassa priorisoida käyttöliittymän latautumista – siinä missä vaikkapa iOS laittaa käyttäjälle näkyvät toimintojen suorituksen etusijalle, Androidissa ne joutuvat kilpailemaan taustalla olevien toimintojen kanssa resursseista. Eli esimerkiksi kun iOS-käyttäjä asentaa taustalla sovellusta ja selailee samalla puhelintaan, asennuksen eteneminen keskeytetään tarvittaessa – toisin sanoen tarvittaessa luodaan viiveitä, joita käyttäjä ei huomaa. Androidilla päällekkäiset prosessit hidastavat toisiaan ja pahimmillaan tämä näyttäytyy käyttäjän huomaamana käyttöliittymän nykimisenä. Harmillisesti vuosia sitten tehdyn valinnnan korjaaminen on Munnin mukaan varsin vaikeaa korjata.

* = Jos harkitset uuden älypuhelimen hankintaa ja et ole vielä lukinnut itseäsi mihinkään leiriin, niin kannattaa ehdottomasti tutustua Windows Phoneen, joka on piristävästi erilainen kuin iPhone, mutta kuitenkin samankaltainen viimeistelty ja harkitusti kehittyvä paketti.

Yksi hyvä indikaattori organisaation viestintätaidoista on viestin sovittaminen kulloinkin käytettyyn kanavaan sekä sen vallalla oleviin käyttäjälähtöisiin käytänteisiin ja sanastoihin.

Tuoreena tapauksena Fazer, joka oma-aloitteisesti kytkee omiin verkkokauppoihinsa kohdistuneen tietomurron osaksi viimeaikaisista murroista käytävää keskustelua käyttämällä Twitter-viestissään #tietovuoto -hashtagia, joka verkostopalvelun käyttäjien toimesta vakiintunut yhdistämään aihealuetta käytävää keskustelua.

• @FazerSuomi
• viestin permalink
• #tietovuoto
• http://bit.ly/rTRvnn

Holcomb, Gross & Mitchell (2011)*:

"News organizations were far less likely to use Twitter as a reporting tool or to curate or recommend information that originated elsewhere. Just 2% of the tweets from the main news feed analyzed were information-gathering in nature-seeking views or first-hand accounts from readers. And only 1% of tweets studied were "retweets" that were reposted from a Twitter feed outside the organization."

Tää on jännä. Mediatalojen virallisista syötteistä on linjattu pois juuri ne sisällöt, jotka tekisivät niistä IMHO seuraamisen arvoisia.

Lieneekö tämän seurausta, että uskollisinta yleisöä kertyy esim. Twitterissä ja muissa subscribe-to-follow -palveluissa vapaammin linkittävien toimittajatilien ympärille?

Ja mitä tapahtuu kun työpaikka vaihtuu? Riidellään tietysti oikeudessa seuraajien "omistajuudesta".

(* = via Kari Haakana @ FB)

Viime viikkoinen 500.000 sähköpostiosoitteen vuotaminen verkkoon ei ollut sellaisenaan vakava tapaus. Useista eri lähteistä kasatut osoitteet ovat periaatteessa julkisia ja joukossa on jopa 10 vuotta sitten vanhentuneita ja ilmeisesti myös vain verkosta harvavoituja osoitteita.

Vakavemmin kannattaa sen sijaan suhtautua vuodon yhteydessä esitettyyn väitteeseen, jonka mukaan vuotajalla on hallussaan osaan sähköpostiosoitteista liittyviä salasanoja.

Toissapäivänä verkkoon ilmestyikin lista A-, N- ja O-kirjaimilla alkavista salasanoista ja lupaus:

"Täydellinen salasanalista (yhdistettynä käyttäjätunnuksiin ja sähköpostiosoitteisiin) tullaan julkaisemaan siinä vaiheessa kun koko hashilista on ajettu työkalujen läpi."

Listalla on n. 14600 salasanaa, mikä (salasanojen alkukirjainten yleisyydestä riippuen) ennakoi jopa 120–150.000 salasana-käyttäjätunnus -yhdistelmän vuotoa.

Salasanojen käyttökohteiden kriittisyys on vielä tuntematon, julkilausumissaan vuotaja ei ole yksilöinyt palveluita, joista ne on saatu. MikroPC:n mukaan kyseessä saattaisi olla phpbb2-keskustelupalstojen haavoittuvuus, mutta koska valitettavan moni käyttää samaa salasanaa useissa eri palveluissa, voi toteutuva vahinko kohdistua myös muihinkin kuin hyökättyihin palveluihin. Suoranaista taloudellista haittaa vuodosta tuskin aiheutuu käyttäjille, mutta jokainen voi kuvitella millaista mielipahaa voi "lievästäkin" tili- ja identiteettivarkaudesta aiheutua.

Mielenkiintoista on, että kirjoituksissaan vuotaja on kertonut salasanojen olleen salatussa muodosssa, mutta että niiden purkaminen on onnistuu pienellä vaivalla. Tähän asti suurimpina riskeinä on pidetty selkokielisinä

Tapauksessa havainnollistuu ikävällä tavalla vahvojen salasanojen käyttökulttuurin tärkeys, se voi suojella käyttäjää vielä silloinkin kun järjestelmän muut suojaukset ovat pettäneet. Ainakin julkaistulla listalla murretuiksi väitetyt salasanat ovat heikkoja, ne ovat lyhyitä ja niissä on käytetty aika vähän eri merkkityyppien (isot/pienet kirjaimet, numerot, erikoismerkit) vaihtelua.

Seuraa pieni yksinkertaistava katsaus, joka ei kuulu asiantuntijuuteeni, joten rakentavat täsmennykset ovat tervetulleita kommentteihin:

Tiiviste ja suolaus

Usein salasanat tallennetaan verkkopalvelujen tietokantoihin ns. tiivisteinä, jotka lasketaan esimerkiksi MD5-algoritmin avulla.

Esim. salasanan "kissa" MD5-tiiviste on "1ad99cbe9e425d4f19c53a29d4f12597"

Tiivisteiden hienous on, ettei palvelun tarvitse koskaan edes tietää selkokielistä salasanaa. Kun käyttäjä yrittää kirjautua palveluun, muunnetaan salasana tiivisteeksi ja verrataan sitä tietokannassa olevaan.

MD5-algoritmin hienous on, että tiivisteen luominen on hyvin kevyt laskutoimitus, mutta tiivisteen purkaminen on erittäin raskasta. Tiivisteillä ei siis käytännössä tee mitään.

Paitsi jos salasana on heikko.

Tiivisteitä voidaan purkaa vertaamalla niitä valmiiksi laskettuihin salasana-tiiviste -vastaavuustaulukoihin.

Mitä vahvempi salasana (riittävän pitkä, sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä) sitä raskaampaa sen kattavan taulukon luominen on ja sitä kauemmin vastaavuuden löytämiseen menee aikaa.

Esim. salasanan "kissa" tietokone voi tunnistaa tiivisteen suhteellisen nopeasti vaikka käytettävissä ei edes olisi valmiita taulukoita. Salasanaa "q3u#r-s09n?2kaA3WV-MS" vastaavan tiivisteen tunnistaminen vaatii jo enemmän aikaa ja laskentatehoa.

Palvelu voi itse lisätä salasanan vahvuutta lisäämällä siihen "suolaa", eli lisäämällä siihen palvelukohtaisen säännöstön mukaan ylimääräisiä tai korvaamalla olemassaolevia merkkejä, ennen tiivisteen laskemista.

Esim. salasana "kissa" voi suolauksen myötä näyttää tältä "q3u#r-s09n?2kaA3WV-MS", josta luodaan tiiiviste. Jos nämä tiivisteet vuotavat, hyökkääjän pitäisi tuntea myös lähdepalvelun salaiset suolausalgoritmit.

Parhaassa tapauksessa suolaus estää salasanojen käytön, huonoimmillaankin se antaa vuodon mahdollisesti huomanneelle palveluntarjoajalle lisäaikaa reagoida.

Viimeviikkoisen tietovuodon perisyntinä näyttäisi uhittelujen mukaan olleen heikko suolaus, jonka jälkeen heikoimmat salasanat murtuvat ropisemalla.

***

Koko tietovuoto-episodin lopputulos jää vielä nähtäväksi, mutta tapaus on joka tapauksessa hyvä muistutus siitä, että tietoturvan kaikkiin osasiin on syytä kiinnittää huomiota. Ratkaisevassa asemassa ovat palveluntarjoajat, jotka voivat omien teknisten ratkaisujensa lisäksi kannustaa tai jopa pakottaa asiakkaansa käyttämään riittävän vahvoja salasanoja.

Kun tarpeeksi moni vaatii vahvaa salasanaa, käytäntö hivuttautuu osaksi verkossa asioimisen kulttuuria. Pahinta mitä voi tehdä on rajoittaa käyttäjien luomien salasanojen vahvuutta. Esim. avauduin taannoin Veikkauksen käytännöstä rajoittaa salasanan merkkimäärää ja merkkien monipuolisuutta. En epäile Veikkauksen tietoturvaa sen tietokantojen suojauksen ja suolauksen osalta, mutta noinkin ison toimijan antama erimerkki on haitallinen yleisen salasanakulttuurin kannalta.

***

PS. Vahvan salasanan ei tarvitse olla sekava tyyliin

"q3u#r-s09n?2kaA3WV-MS" 

Se voi olla myös helppo ja henkilökohtainen fraasi tyyliin

"MM-lätkämestarit_1995&2011!"

Pienellä variaatiolla hyvän fraasin sisälle voi upottaa palvelukohtaisen muuttujan, esim. 

"MM-lätkämestarit_Naamakirja_1995&2011!"

Vilkasu-blogi tarkastelee viimeaikaisten tietovuotojen päällekkäisyyksiä:

Kirjoitin aikaisemmin McGurk-efektistä, jossa visuaalinen havainto puhujan huulista voi muuttaa vahvasti kuullun äänteen tulkintaa.

Minua jäi kuitenkin askarruttamaan kysymys selkokielisestä puheesta, sillä vaikka McGurk-efektin perusteella äänteiden (äänien, signaalitason viestien) ja niihin liitetyn liikkeen ero voi olla suurehko, elokuvateattereista saatu arkikokemus kertoo, että pienikin ero selkokielisen puheen (kielen, symbolitason viestien) ja huulien liikkeen välillä pistää helposti silmään/korvaan/molempiin.

Toisaalta dubattujen piirrettyjen kohdalla eri kielillä tapahtuvan puheen ja piirroshahmon suun liikkeen välinen yhteys tuntuu luontevalta. Olen pariin kertaan animaatioelokuvaa katsoessani miettinyt, miksei tämä "virhe" häiritse. Olen päätynyt nopeaan tulokseen, että a) dubbaustiimi on onnistunut tekstin sovittamisessa ja ilmaisun rytmityksessä sekä b) viihdettä katsoessa luomme "sanattoman sopimuksen" siitä, ettemme riko liialla järkeilyllä illuusiota.

Törmäsin kuitenkin tänään Bad Lip Reading -kollektiivin videotuotantoon. Ideana niissä on, että tekijät napsivat eri lähteistä videoita, joissa tunnetut henkilöt puhuvat ja vaihtavat ääniraidan dubbaukseen, jonka teksti perustuu "huulilta lukemiseen", eli siihen mitä videon henkilöt näyttäisivät sanovan.

Lopputulos on hulvaton, eräänlainen käänteinen McGurk-efekti, sillä hyvin rytmitetty puhe saa suun liikkeen näyttämään juuri sopivalta. Puheen ja suunliikkeiden välisen virheen havaitsee tarkkailemalla, mutta se ei häiritse.

Parhaiten efekti toimii jos ei tiedä miltä videolla oleva henkilö kuulostaa, esimerkiksi minulla ei ole käsitystäkään siitä, miltä republikaanien presidenttiehdokkaaksi pyrkivä Herman Cain kuulostaa:

Pienen häiritsevän vihjeen saa siitä, että ääni kuulostaa nuoremmalta kuin Cain näyttää.

Tuttuuden vaikutuksen illuusioon huomaa vahvemmin kun katsoo Obamaa, mutta silti dubbaus tuntuu uskottavalta:

Nyt kun asiaa miettii, niin lienee kokemuspohjaisestikin ihan loogista, että temppu onnistuu, sillä olemme tottuneet siihen, että suu liikkuu samojen sanojen tahtiin hieman eri tavoilla – onhan jokaisen ihmisen kasvojen rakenne hieman erilainen ja käytämme puhuessamme kasvojemme lihaksia eri voimakkuudella.

Summa summarum: Eli hypoteesi olisi, että havaittu huulten liike ohjaa auditiivista tulkintaa nonverbaalisten äänteiden kohdalla, mutta verbaalinen puhe ohjaa visuaalista tulkintaa huulten liikkeiden kohdalla?

(BLR via TWiT #325)

Petteri Järvinen bloggaa ristiriidasta Keskon/Kespron viimeaikaisen toiminnan ja K-Plussa -kortin rekisteriselosteen välillä:

[…] [YLEn uutisen] mukaan "Kespro on perjantaina ollut yhteydessä niihin asiakkaisiin, jotka ovat sen Plussa-asiakasrekisterin perusteella ostaneet bakteerin saastuttamia oliiveja" […]

[…] Plussa-kortin rekisteriseloste kuvaa kerättäviä tietoja näin: "K-Plussa-kortin käyttöön liittyvät tiedot: kortilla suoritetut ostot kuitin loppusumma- tai tuoteryhmätasolla (ellei asiakkaan kieltoa), sisältäen ostopaikan, kuittinumeron, maksutavan, oston päivämäärän ja kellonajan K-Plussa-asiakkuuden perusteella myönnetyt alennukset".

Kysymys kuuluukin: miten hengenvaarallisia oliiveja ostaneita voidaan jäljittää Plussa-kortin perusteella, jos tuotekohtaisia tietoja ei ole kerätty? […]

Hyvä kysymys.

En nyt sano, että etteikö potentiaalisesti säästetty henki olisi useammankin tietosuojapykälän rikkomisen arvoinen, mutta jos asialle ei löydy hyvää selitystä, niin tarkoittaako se, että kuluttajille on valehdeltu vuositolkulla päin naamaa?

…minkä ei nyt varsinaisesti pitäsi yllättää ketään.

Mutta olipa miten oli, kysymys on hyvä.

Haluaisin kuulla vastauksen.

Suomen valtion talousarvio vuodelle 2012 interaktiivisena visualisointina, toteutus Juuso Pääkkönen. Parhautta!

Ruutukaapaus: talousarvio.juuso.org

Hups. Tämän blogin feediin lipsahti jostain syystä postaus, jonka piti mennä tuonne.

Horace Dediu:

"[…] Steve Jobs did not create products. He created an organization that predictably and reliably created emotionally resonant products. […]

[…] Steve Jobs was not a magician. He practiced, a lot.[…]"

Ja liuta muita näkökulmia, jotka demystifioivat Jobsia yksilötasolla, mutta saavat tämän uran kuulostamaan myyttiäkin hienommalta.