Lue uutinen mobiilisivustolla

Saako aukoista puhua?

23.11.2001 13:28 Tietoturva-aukot puhuttavat – eräiden mielestä jopa liikaa. Moni asiantuntija pitää naurettavina vaatimuksia kaiken saatavilla olevan turvatiedon julkistamisesta. Mitä kaikkea suurelle yleisölle pitäisi kertoa ja mikä siltä pitäisi salata, jos tietoturvaa yleensä halutaan parantaa?

Yritysten harjoittama julkistamispolitiikka herätti keskustelua taas jokunen päivä sitten, kun Microsoft tunnusti tienneensä ohjelmansa tietoturva-aukosta, mutta jättäneensä julkistamatta tämän tiedon. Tapaus kirvoitti kiivaita kannanottoja siitä, mitä kaikkea tietoturvaan liittyvää yrityksen pitäisi kertoa julkisuuteen ja mitä loppukäyttäjällä on oikeus tietää.

Suomalainen tietoturvayhtiö Online Solutions Oy löysi marraskuun alussa Microsoft Internet Explorer -selainohjelman versiosta 6.0 vakavan tietoturva-aukon. Suomalaisyhtiön kerrottua löydöstään julkisuuteen Microsoft moitti sitä kovin sanoin tietoturva-aukon liian aikaisesta julkistamisesta.

Microsoft väitti, että Online Solutions oli toiminut vastuuttomasti antaessaan tiedon julkisuuteen. Ohjelmistojätin mielestä sille olisi pitänyt ensin ilmoittaa virheestä, jotta se olisi rauhassa voinut alkaa kehittää ongelmaan ratkaisua.

Vasta menneellä viikolla kävi ilmi, että Microsoftia oli itse asiassa informoitu kyseisestä ongelmasta jo viikkoa ennen Online Solutionsin tiedotetta.

Entä sitten?

Tietoturva-alan sinänsä varsin epäyhtenäinen toimijajoukko on tavan takaa noussut kuin yhtenä rintamana puolustamaan käsitystään siitä, ettei kaikkea tietoa ole syytä jakaa kaikille.

Selvää kai onkin, että julkisuuteen päätyy vain osa siitä tiedosta, mikä tietoturva-alan yrityksillä ja tutkijoilla on. Mitä pahaa siinä sitten on? Entä mitä hyötyä olisi ollut siitä, että Microsoft olisi julkistanut tietoturva-aukkonsa välittömästi sen tultua ilmi?

Ehkä tieto siitä, että herra X:n käyttämä selain ei ole turvallinen, olisi saanut hänet hylkäämään Microsoftin ja vaihtamaan toisen valmistajan ohjelmaan. Niinpä, ehkä hyvinkin. Aika todennäköistä silti on, että herra X olisi jatkanut surffailuaan entiseen tapaansa, varoituksista välittämättä, todennäköisesti jopa niistä autuaan tietämättömänä.

Ainakaan toistaiseksi se, että Internet Explorer on selaimista ylivoimaisesti eniten houkutellut vahingollisen koodin levittäjiä ja bugien hyväksikäyttäjiä, ei ole syössyt ohjelmaa perikatoon. Ei likimainkaan. Vaikka muiden valmistajien selaimilla on niilläkin vankka käyttäjäkuntansa, IE on yhä vahvasti markkinoilla.

Yksi syy siihen, että Microsoftin selaimella on edelleen niin vankka asema, taitaakin olla juuri herra X, jolle selain tuli valmiiksi asennettuna konetta ostettaessa. Hän ei olisi osannut tehdä aukkoasialle mitään, vaikka olisi saanut tiedon tietoturvauhkasta sata vuotta sitten.

Voidaan kai kuitenkin ajatella, että jos Microsoft olisi tuonut selaimensa aukon julki aiemmin, se olisi saattanut säilyttää osan siitä luottamuksesta, joka sen asiakkailla yhtiötä kohtaan mahdollisesti tuolloin vielä oli.

Vaikka kyseessä on vain yksittäistapaus, joka saattaa hyvinkin upota jatkuvien turvapäivitysten hetteikköön, voi olla, että epäluottamus jossakin vaiheessa saavuttaa kriittisen massan ja herra X:kin kääntää kelkkansa.

Onko luottoa vai ei?

Joillekuille tuntuu mahdottomalta hyväksyä ajatus siitä, että yrityksillä on mahdollisuus salailla tietoa, jonka julkistamisesta voisi olla yleistä hyötyä.

Erityisen herkkiä yritysten salailulle tunnutaan olevan juuri tietoturvaan liittyvissä asioissa. Tämä vaikuttaa ymmärrettävältä: onhan Internetin laajentuminen tehnyt tietoturva-asioista satojen miljoonien ihmisten päivittäisen päänsäryn. Samoin miljoonat ihmiset käyttävät päivittäin Microsoftin selainohjelmaa.

Osittain epäluottamus yrityksiä kohtaan johtuu varmasti niiden omasta toiminnasta. On yhtiöitä, jotka ovat itse luoneet oman julkisuuskuvansa ja jotka voivat syyttää itseään siitä, ettei niitä tai niiden tuotteita pidetä erityisen luotettavina.

Sitten on niitä yrityksiä, jotka ovat saaneet tuta asiakkaidensa epäluottamuksen muiden toimijoiden, juuri niiden yllämainittujen, aiheuttaman yleisen luottamusinflaation takia. Loppukäyttäjälle käsitys siitä, kuka on pimittänyt ja mitä, hämärtyy vähitellen.

Suuren yleisön keskuudessa epäluulo isoja yrityksiä kohtaan kai on jonkinlainen vakio - jättejähän on aina pelätty ja vihattu. On ehkä ajateltu, että «jotakin pahaahan tuonkin yrityksen on pitänyt tehdä noin hyvään tulokseen päästäkseen».

Kyse tuskin on siitä, että alan toimijat vain haluaisivat pimittää jotakin suurelta yleisöltä. Tietoturvasta on sukeutunut merkittävä liiketoiminta-alue, jonka kasvuun suhtaudutaan yleisesti hyvinkin optimistisesti. Liiketoimintaan vaikuttavia asioita ei tietenkään haluta kailottaa suureen ääneen.

Yhtä lailla tiedon salaaminen ei johdu pelkästään siitä, että pelättäisiin tiedon luovan tuskaa loppukäyttäjille. Tietämättömyys tietysti luo helposti pelkotiloja, ja äkkiä ilkeät krakkerit väijyvät jo joka puolella. Paniikin lietsontakaan tuskin sittenkään on kenenkään etujen mukaista.

Kuka siellä portilla kolkuttaa?

Oikeutta, tai jopa velvollisuutta olla julkistamatta vaikkapa juuri jonkin ohjelman tietoturvan vaarantava virhe perustellaan usein turvallisuudella. Pelätään, että virheen julkistaminen houkuttelee heti sankan joukon netin hämärähemmoja kolkuttelemaan palvelimen portteja ja etsimään tunkeutumistietä palveluun.

Tällainen perustelu kieltämättä tuntuu pätevältä. Internetissä on sivustoja, joihin listataan eri ohjelmien tietoturva-aukkoja ja muita virheitä sitä mukaa kun niitä löydetään.

Totta tietenkin on, että niillä, jotka moisia listauksia seuraavat, ei automaattisesti ole pahat mielessä. Varmaankin suurin osa bugilistojen lukijoista on yritysten tietoturvavastaavia tai muita sellaisia henkilöitä, jotka tuntevat omat järjestelmänsä hyvin ja voivat tiedosta hyötyäkin - vieläpä positiivisessa mielessä.

Toisaalta on selvää, että bugilistoja ja muuta paljastavaa nettimateriaalia tarkkailevat myös tietomurtomiehet. Asiasta on valitettavasti jo näyttöäkin: tietoturva-asiantuntija David Perry päivitteli taannoin Suomessa käydessään sitä, että Code Redin kirjoittaja sai aikoinaan tarvitsemansa tiedon eEye-nettipalvelusta.

Kuten arvata saattaa, asia ei taaskaan ole ihan niin yksinkertainen. Securityfocusin Elias Levyn mukaan Code Red perustui aiempaan matoon, joka niinikään osasi hyödyntää Microsoftin IIS-palvelimen tietoturva-aukkoa. Aiemman madon ilmestyessä tietoturva-aukkoa ei kuitenkaan ollut vielä julkistettu.

Voidaanko siis tästä päätellä, että tietoturva-aukkoja osataan hyödyntää joka tapauksessa, kerrottiin niistä sitten julkisuudessa tai ei?

Ehkä.

Jos niin voidaan päätellä, voidaan kai myös ajatella, kuten Levy, että tietoturva-aukkojen julkituominen on vain pakollinen paha.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta