Lue uutinen mobiilisivustolla

Microsoftin vuoro vastata huhumyllyn pyöritykseen

18.6.2003 14:55 Ohjelmistojätti Microsoft Corporation kokee joutuneensa lukuisten huhujen, panettelujen ja väärien tietojen saartamaksi, jotka aiheuttavat myös tietokoneen käyttäjälle paljon ongelmia. Miksi tähän on tultu ja mikä on totuus, jos se jostain löytyy? Onko yhtiö kovan maineensa mukainen?

Usein Microsoftin tuotteista on laskettu tarkoituksellisesti liikkeelle harhaanjohtavaa tietoainesta, joka pinnallisesti vaikuttaa oikealta, mutta vertailtaessa eri lähteitä tieto osoittautuu ristiriitaiseksi tai jopa täysin vääräksi.

Laittomat ohjelmakopiot

Lukuisat piraattiohjelmistojen käyttäjät ovat saaneet kokea, etteivät laittomat ohjelmistokopiot ole toimivia ja niitä on usein jopa tahallisesti muokattu. Mitä haittaa näiden käytöstä voi käyttäjälle seurata?

Microsoft Oy:n markkinointijohtaja Timo Tiaisen mukaan konkreettisin esimerkki lienee ulkomailta tuodut laittomasti kopioidut ohjelmistot, joiden mukana leviää viruksia, tai jotka koostuvat epätäydellisistä paketeista, kuten MS-tuotteiden beta-versioista.

Sen lisäksi, että Microsoft menettää niiden vuoksi tuloja, ne aiheuttavat huonoa mainetta tuotteille ja Microsoftille ja muille ohjelmistoteollisuuden yrityksille epätäydellisellä toiminnallaan ja/tai sisältämillään viruksilla.

Business Software Alliancen (BSA) teettämän tutkimuksen mukaan koko Euroopan piratismitason aleneminen kymmenellä prosenttiyksiköllä kasvattaisi alueen taloutta 92 miljardilla eurolla, toisi 250 000 uutta työpaikkaa ja 20 miljardin euron verran lisää verotuloja vuoteen 2006 mennessä, Tiainen huomauttaa.

Käyttäjä ei omista ohjelmaa, vaan vain sen käyttöoikeuden voi omistaa, Tiainen muistuttaa. Omistusoikeus käyttöoikeuteenkin on riippuvainen siitä, että käyttöoikeussopimuksen ehtoja noudatetaan. Asiaa voi verrata kerrostaloasunnon osakkeisiin, jotka oikeuttavat vain asunnon hallintaan, ei varsinaisesti asunnon omistamiseen.

Käyttäjistä kerätään tietoja

Miksi käyttäjän tulee rekisteröityä esimerkiksi Windowsin tai Officen käyttäjäksi?

Tiaisen mukaan yksikään Microsoftin tuote ei vaadi rekisteröintiä, mutta jotkut tuotteet vaativat aktivoinnin. Aktivointi ei vaadi minkään henkilökohtaisen tiedon luovuttamista Microsoftille tai kenelläkään muulle. Ainoa tarvittava tieto on paketin mukana tuleva asennustunnus.

Jo vuosia on väitetty, että Microsoft kerää tietoja käyttäjistä ja käyttäjän koneen komponenteista useilla eri tavoilla. Mikä on totuus tässä asiassa?

- Microsoft ei kerää tietosuojalausunnoissa mainitsemattomia tietoja käyttäjien koneista tai käyttäjistä, Tiainen korostaa. Vaikka koodi ei olekaan avointa, olisi outoa jos tuollaista vakoilua ei voitaisi todistaa ja havaita, koska useimmat Microsoftin tiedostomuodot, protokollat, dokumentoimattomat rajapinnat, tietoturva-aukot on kerran löydetty.

Mihin Microsoft tarvitsee seuraavia tietoja: järjestelmän sarjanumero, verkkokortin MAC-osoite, CD-aseman tunnus, suorittimen sarjanumero ja tunnus, kiintolevyn tunnus, SCSI-tunnus, IDE-tunnus, käyttömuistin koko ja laitetyyppi?

- Mainittuja tietoja käytetään aktivoinnissa eikä niitä kerätä, tallenneta tai lähetetä mihinkään, vaan niiden perusteella lasketaan käyttäjän työasemassa yksisuuntaisella algoritmilla tarkistussumma, jota sitten käytetään aktivoinnissa. Tarkistussummasta ei voi päätellä taaksepäin, mitä osia aktivoidussa laitteistossa oli, Microsoftin teknologiajohtaja Kimmo Bergius korostaa.

Aktivoinnin voi tehdä myös puhelimitse, jolloin ei kysytä mitään muita tietoja kuin XP:n antama aktivointikoodi, eli kyseinen tarkistussumma. Vastineeksi sieltä annetaan vastakoodi, jonka syöttämällä XP aktivoituu. Tällä tavalla tehtynä käyttäjä tietää tarkasti mitä tietoja on Microsoftille antanut.

Aktivoinnista löytyy tietoa:
http://support.microsoft.com/default.aspx?scid=kb;fi;302878#3 :
http://www.microsoft.com/piracy/basics/activation/mpafaq.asp
http://www.microsoft.com/piracy/basics/activation/microsoft_opinion_report_english.pdf

Vuosimaksut - onko niitä?

Linux-maailmassa, esimerkiksi Red Hatin kanssa solmitaan maksullisia tukisopimuksia. Mitä ovat Microsoftin perimät vuosimaksut ohjelmistoistaan, joita peritään eri päivitysten yhteydessä ja itse ohjelmistojen käytöstä?

- Kenenkään Microsoftin ohjelmistoja käyttävän ei ole pakko päivittää yhtään mitään, eikä kerran maksetuista ohjelmistoista tarvitse maksaa mitään vuosimaksuja, Bergius huomauttaa.

Jos asiakas niin haluaa, hän voi hankkia ostamalleen käyttöoikeudelle ylläpitosopimuksen, jolloin hän saa käyttöoikeuden myös tuleviin versioihin, mutta se ei ole pakollista. Toki Microsoft pyrkii osoittamaan että se kannattaa.

- Microsoftin bugifixit saa ilmaiseksi ja automaattisesti webistä niin halutessaan. Eli Microsoftille maksetaan käyttöoikeuksista, sen jälkeen korjaukset ovat ilmaisia, Bergius sanoo.

Sekavuutta verkossa

Microsoftin verkkosivut saavat useilta käyttäjiltä rankkaa palautetta vaikeaselkoisuudestaan. On hyvin hankala etsiä jotain tiettyä tiedostoa tai ohjetta kymmenien eri linkkien kautta.

Eräs hyvin kysytty asia on Outlook 2002:n tietojen varmuuskopiointi, joiden löytäminen vaatii sivujen perusteellista läpikäyntiä. Mistä tämä johtuu?

Tiaisen mukaan Microsoftilla on selkeä kuva mihin suuntaan webiä pitää kehittää ja on varmaankin paljon sellaisia toimintoja, jotka eivät saa ansaitsemaansa paikkaa verkkopalvelussa tällä hetkellä, hän myöntää.

Verkko on kuitenkin osa Microsoftin brandia, joten kokonaisuus kehittyy Tiaisen mukaan samaan suuntaan.

Outlook 2002:n varmuuskopio-ohjelma - pfbackup.exe - löytyy suomenkielisenä ja se asentuu valikkoriville. Tiedosto löytyy sivulta: http://office.microsoft.com/downloads/2002/pfbackup.aspx.

Euro päivässä yrityksiltä

Microsoftin suurista ohjelmistokustannuksista puhutaan kaikilla foorumeilla ja niitä verrataan "?ilmaisiin"? Linux-OSS ohjelmistoihin.

Tiaisen mukaan hyvä esimerkki ovat Turun Ammatti-instituutin hankinnat, jolloin 1 730 työasemalle oli hankittu MS-ohjelmistot koulutussopimuksen puitteissa vuodeksi, noin 85 000 euron hintaan. Tähän sisältyivät Windows-päivitys (pohjalla oltava jokin OEM-Windows), MS Office, Core CAL ja kehitysvälineet, kuten Visual Studio. Kustannukset työasemaa kohden olivat noin 48 euroa vuodessa.

Microsoft on laskenut keskimääräisiksi ohjelmistokustannuksiksi työasemaa kohden yhden euron päivässä. Mutta halvemmallakin selviää. Tähän "?euro päivässä"? kuuluvat palvelinten käyttöoikeudet (siis CALlit Windows, Exchange, SMS ja SPS).

- Koulusopimuksissa, kuten Turun Ammatti-instituutin tapauksessa, hintaan kuuluvat myös kehitysvälineet, kuten Visual Studio ja lisähinnalla sitten vielä muita tarvikkeita, Tiainen korostaa.

Alle euron yksityisiltä

Teimme ennen haastattelua hintavertailun Microsoftin ohjelmistoista. Halvimman ja kalleimman tuotteen ero voi olla lähes nelinkertainen ostopaikasta riippuen:

Microsoft Office XP Standard, suomenkielinen päivitys: 250 – 400 euroa
Microsoft Office XP Professional, suomenkielinen: 340 – 820 euroa

Microsoft Windows XP Professional, suomenkielinen: 179 – 500 euroa
Microsoft Windows XP Professional päivitys, suomenkielinen: 159 – 549 euroa

Tiaisen mukaan opiskelijaversio Microsoft Officesta maksaa tällä hetkellä noin 139 euroa. Opiskelijaversio voidaan hankkia perheeseen, jossa on yksikin opiskelija, koululainen tai opettaja.

- Ehkä markkinointimme on tältä osin hieman epäonnistunut. Usein julkisuudessa mainitaan vain kauppojen tuotehintoja yrityksille ja vertaillaan näitä, Tiainen pohtii.

OEM-versiot

Eri OEM-versiot ovat hyvinkin edullisia, kuten hintaesimerkistä huomattiin. Useat jälleenmyyjät myyvät niitä asiakkaalle, joka samalla ostavat 10 euron hiiren. Miten tämä on mahdollista?

- Sen ei pitäisi olla mahdollista, Tiainen vastaa. Olemme toimittaneet jälleenmyyjillemme selvät ohjeet. Tulkintaongelmia tulee, jos tietokonetta aletaan pilkkoa, minkä osan mukana ohjelmiston pitää seurata.

- Kysymys on ongelmallinen, koska kuluttajille halutaan tarjota mahdollisuus hankkia tuotteita kohtuuhintaan esimerkiksi konetta päivittäessään, mutta toisaalta pyritään estämään epäreilun "bisneksen" tekeminen, eli sen, että joku ostaa kontin OEM-paketteja/lisenssejä ja toisen verkkojohtoja ja myy OEM-lisenssit verkkojohdon kanssa hyvästä hinnasta, Tiainen sanoo.

- OEM-rajoitukset eivät ole suunnattu kuluttajien elämän hankaloittamiseen, vaan lähinnä epäreilun kaupan estämiseen eli OEMit on tarkoitettu kuluttajien eduksi. Niihin on liitetty rajoituksia niin, ettei epärehellistä toimintaa tapahtuisi, hän korostaa.

- Tästä syystä on raja johonkin laitettava. Ja jos OEM-lisenssin tarkoituksena on alun perin ollut tukea laitemyyjiä ja toisaalta tarjota valmista kokonaisuutta asiakkaille, "hiireen paketointi" ei oikein tue sitä. Kaiken lisäksi se vie leipää oikein toimivilta kauppiailta, jotka varastoivat "täysiä" paketteja ja myyvät niitä, mahdollisesti pääbisneksenään, Tiainen muistuttaa.

Koodi vastaan koodi

OpenSource-ohjelmistoja mainostetaan ja markkinoidaan ajatuksella, jonka mukaan jokainen koodaaja on tarkka maineestaan ja tekee näin ollen mahdollisimman hyvää koodia. Onko asia näin?

- Tämä varmasti pitää paikkansa koodattaessa jotain pientä ohjelmaa pienessä mittasuhteessa, Bergius pohtii.

- Projekteilla on kuitenkin taipumus kasvaa, jolloin huolellisella työllä virheitä vähennetään, mutta myös aikaa kuluu enemmän. Nykyajan ohjelmistovirheissä ei oikeastaan ole kysymys koodausvirheestä, vaan enemmänkin joko virheellisistä käytännöistä tai puutteellisesta suunnittelusta. Tästä syystä yksittäisen koodaajan panoksen merkitys vähenee, joten ohjelmassa voi olla virheitä, vaikka kaikki osat olisi koodattu virheettömästi, hän huomauttaa.

- Käytettävissä olevien faktojen pohjalta voi todeta, ettei koodin turvallisuuteen vaikuta se, onko koodi avointa vai suljettua, Bergius sanoo.

- Avoin koodi ei ole lähtökohtaisesti turvallisempaa kuin suljettukaan, eikä tietoturva automaattisesti parane vaihtamalla avoimeen lähdekoodiin. Asiasta on tehty myös useita tutkimuksia. Yksi tutkimus löytyy osoitteesta: http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf

Miksi löydettyjä aukkoja ei korjata?

Tietoturvasta vastanneet henkilöt eivät ole aina päivittäneet ohjelmistojaan. Tästä syystä virukset ovat saaneet aikaan huomattavia vahinkoja. Mistä tämä mahtaa johtua?

Kyseessä voi olla tiedon ja ajan puute, koska ei ole aikaa seurata kaikkea, Bergius arvelee.

- Ei tiedetä mitä ongelmia esiintyy, mitkä niistä koskettavat omaa ympäristöä, tai miten ne pitäisi korjata. Tiedetään mitä pitäisi tehdä, mutta ajan puute aiheuttaa tietoturvakorjausten tekemisen priorisoimisen "sitten kun ehtii" –kategoriaan, Bergius sanoo.

- Joissakin yrityksissä puuttuu prosessi ja useasti myös tarvittavat ohjelmistotyövälineet, joilla tietoturvapäivitykset voidaan tehdä nopeasti ja tehokkaasti. Tässä tapauksessa korjausten tekeminen on työlästä, koska yhden ihmisen vastuulla voi olla satoja työasemia suurempien organisaatioiden verkkojen kohdalla, hän sanoo.

Shared Source

Avoimen koodin puolestapuhujat ovat saaneet levitetyksi ideaa, että koodiin ei voi luottaa, ellei sitä voi itse tarkistaa. Miten on, miksi hallituksille paljastetaan koodia?

- Mitä tulee Microsoftin Shared Source -ohjelmiin, niin koodia näytetään hallituksille siksi, että he sitä haluavat, Bergius kertoo. Microsoft ei avaa koodiaan kaikille, koska se sisältää liikesalaisuuksia ja toisaalta koodin näkemisestä ja lukemisesta on hyötyä suhteellisen harvoille.

- Kannattaa muistaa, että Microsoftin käyttöjärjestelmien lähdekoodi on ollut jo pitkään muun muassa yliopistojen saatavilla ja käytettävissä tutkimusprojekteihin, eli ei hallituksille tai yrityksille suunnatussa lähdekoodiohjelmassa sinällään ole mitään uutta, Bergius muistuttaa.

- Ja koska Microsoftilla ei ole salattavaa, se tarjoaa tietyille asiakkaille mahdollisuuden auditoida koodia, tai esimerkiksi pistää sen talteen kassakaappiin pahan päivän varalle.

- Jonkin verran lähdekoodia, muun muassa Windows CE.NET –käyttöjärjestelmän ja Microsoftin Shared Source .NET -toteutuksen lähdekoodi, on myös kenen tahansa saatavilla ja ladattavissa Microsoftin web-sivustosta, Bergius toteaa.

Tietoturva vuotaa

Eri puolueettomien tutkimusten ja jo käytännön kokemuksien mukaan Linux, muut käyttöjärjestelmät ja ohjelmat, alustasta riippumatta, eivät ole aukottomia. Linuxia on pitkälti markkinoitu alustana, jossa ei ole tietoturvaongelmia.

Tämä on erittäin vaarallinen viesti, koska se tuudittaa siihen uskovia käsitykseen, että tietoturva-asioita ei tarvitsisi tehdä, tai ainakaan tehdä samalla tarkkuudella.

Tutkimusyhtiö Gartnerin mukaan Microsoftin markkinaosuus on desktop-käyttöjärjestelmissä yli 95 prosenttia, desktop-sähköpostiohjelmissa yli 90 prosenttia ja www-selaimissa yli 90 prosenttia; www-palvelimissa Linuxin markkinaosuus on yli 75 prosenttia.

Tästä syystä on selvää mihin tietoturvahyökkäykset ja virukset laajimmin kohdistuvat. Miten Microsoft jatkaa ja laajentaa tietoturvan kehittämistä?

- Uskaltaisin väittää, että viimeisen vuoden aikana Microsoft on tehnyt turvallisten tietojärjestelmien eteen enemmän työtä kuin monet muut koko olemassaoloaikanaan, Tiainen vakuuttaa.

- Ja jatkamme tätä työtä – tietoturva on asia, jonka eteen ja ylläpitämiseksi pitää tehdä jatkuvasti töitä, niin meidän Microsoftilla kuin asiakkaidemme ja käyttäjiemmekin. Microsoft myös tekee laajamittaista yhteistyötä sekä asiakkaiden että kumppaniemme kanssa tietoturvan parantamiseksi, hän korostaa.

- Microsoftin tietoturvapanostukset alkavat jo näkyä, joten OSS-maailman uudet tietoturva-aukot ylittävät jo Microsoftin uusien aukkojen määrän, aivan kuten osa Linux-distroistakin, Tiainen sanoo.

- Tätähän on jo kauan ennustettu. Uusia aukkoja tulee kuitenkin löytymään, koska joku aina keksii uuden tavan hyödyntää joko vanhoja piileviä aukkoja, tai kokonaan uusia mahdollisuuksia, mutta tilanne alkaa olla pikkuhiljaa hallittavissa.

- Esimerkkinä mainittakoon Sendmail, jota on kehitetty yli 15 vuotta. Sen haavoittuvuus olisi pitänyt olla tiedossa, koska juuri siihenhän ensimmäinen mato aikoinaan 80-luvun lopussa iski. Koodi on avointa ja silti siitä löytyy yhä edelleen ongelmia, Tiainen muistuttaa.

Tietoturvamielessä todellista vertailua on käytännössä mahdoton tehdä, kertoo F-Secure Oyj:n Jari Salmi. Avoin lähdekoodi ei automaattisesti paranna tietoturvaa. Tietoturva muodostuu useista eri osa-alueista.

Myös Linuxille löytyy runsaasti viruksia kuten Bliss, Gildo, RST, Kagob, Adm, Zipworm,Slapper, Diesel, Lion, Nuxbee, OSF.8759, Ramen, Satyr, Mighty, Vit.4096.

Onko Java riski?

Microsoft on kertonut Sun Microsystemsin Javan olevan tietoturvariski. Javassa on riskinsä edelleenkin.

"Java"-hakusana tuottaa osoitteessa http://www.securityfocus.com/search "?bugtraq"? listalta 226 tulosta, joista vain osa on Microsoftin tuotteissa.

Java-kiistojen tuloksena syntynyt sopimus kieltää Microsoftia päivittämästä millään tavalla omia Java-tuotteitaan 2.1.2004 jälkeen. Eli ainakin sen jälkeen Java VM on tietoturvariski

Lisätietoa asiasta löytyy osoitteesta http://www.microsoft.com/windowsxp/pro/evaluation/news/jre.asp

Linux ja Microsoft yhteiskäytössä

Windowsia ajetaan Linuxin päällä ja MS Office on haluttua tavaraa. Miksi ja mihin Linux-maailma tarvitsee Microsoftin ohjelmistoja?

Tiaisen mukaan tätä pitäisi kysyä käyttäjiltä, mutta eiköhän selkeä syy löydy siitä, että Microsoft-ohjelmistojen ominaisuudet ovat kuitenkin sen verran edellä, että MS Officea halutaan käyttää, vaikka sitten erilaiste

Jarmo Mäkelä toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuoli ja kahdeksan haavoittui ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta