Kaikki haavoittuvuudet julki, vaatii tietoturvaguru
Kuva: Martti Kainulainen/Lehtikuva
16.2.2007 08:44 Tietoturvaguru Bruce Schneier liputtaa tietokoneohjelmissa olevien haavoittuvuuksien täydellisen julkistamisen puolesta ja tyrmää ajatuksen siitä, että ohjelmistoyhtiöt korjaisivat tuotteitaan, jos niitä ei siihen julkistamisella painostettaisi.
– Haavoittuvuuksien täydellinen julkituominen […] on pirun hyvä ajatus. Julkinen tarkastelu on ainoa luotettava tapa parantaa tietoturvaa, salailu taas tekee meistä entistä turvattomampia, Schneier sanoo helmikuun Crypto-Gram-uutiskirjeessään.
Tietoturvatutkijan mielestä haavoittuvuuksien salassa pitämisessä on kyse enemmän tietoturva-aukkoja koskevasta informaatiosta kuin aukoista itsestään.
Hän tyrmää väitteet siitä, etteivät tietoturva-aukkoja etsivät löytäisi niitä ilman haavoittuvuuksien julkistamista.
– Hakkerit ovat osoittautuneet taitaviksi löytämään salassa pidettyjä haavoittuvuuksia, ja [haavoittuvuuksien] julkituominen on ainoa syy siihen, että [ohjelmisto]toimittajat korjaavat järjestelmiään rutiininomaisesti.
Schneier ei myöskään usko, että ohjelmistovalmistajat käyttäisivät aikaa ja rahaa korjatakseen tuotteissaan olevia haavoittuvuuksia, jos ei aukkoja tuotaisi julkisuuteen ja pakotettaisi yhtiöitä toimimaan.
Hänen mielestään ohjelmistoyhtiöt pitävät haavoittuvuuksia enemmän käyttäjien ongelmana kuin omanaan.
– Fiksu [ohjelmisto]toimittaja pitää haavoittuvuuksia enemmän PR- kuin ohjelmisto-ongelmana. Jos me käyttäjät haluamme ohjelmistotoimittajien korjaavan haavoittuvuudet, meidän on tehtävä PR-ongelmasta akuutimpi.
Pitkä ja jatkuva kädenvääntö
Haavoittuvuuksien ehdottomasta ja täydellisestä julkistamisesta käytetään englanninkielistä termiä full disclosure.
Aiheesta on tietoturva-alalla väännetty kättä vuosia. Toiset julkaisisivat haavoittuvuudet, toiset kertoisivat haavoittuvuuksista vain tuotteen valmistajalle ja antaisivat ohjelmistovalmistajien tehdä rauhassa korjaukset ennen tietoturva-aukkojen tuomista julkisuuteen.
Erityisesti ohjelmistoala on voimakkaasti puhunut jälkimmäisen, vastuullisena pitämänsä responsible disclosure -toimintatavan puolesta.
Osa aukkojen etsijöistä ilmoittaa ensin haavoittuvuudet ohjelman valmistajalle ja antaa tälle jonkin verran aikaa sen korjaamiseen, minkä jälkeen aukko tuodaan julkisuuteen – oli se korjattu tai ei.
Viime kuukausina haavoittuvuuksia etsivät, yleensä kuukauden mittaiset ”bugijahdit” ovat herättäneet paljon keskustelua korjaamattomien tietoturva-aukkojen tuomisesta julkisuuteen.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla
27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.
Kolme vuotta sitten
Windows Vistan SP2-päivitys on valmis ja ladattavissa
27.05.2009 Microsoft on saanut valmiiksi tärkeän Service Pack 2 -päivityksen Windows Vista - ja Windows Server 2008 -käyttöjärjestelmille.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- » Taloussanomat.fi
Kommentit (6)
Tuntuu että nämä 'hakkerit' tekevät 'duuniansa' itseisarvona haavoittuvuuksien paljastaminen - ei ohjelmistojen parantaminen.
Mikä pakko niitä aukkoja on korjailla.
Jokainen käyttäjä on hyväksynyt käyttöoikeussopimuksen jossa selvästi sanotaan että ohjelma luovutetaan käyttäjän käytettäväksi sellaisena kuin se on ja ohjelmisto talo ei ole vastuussa mistään ojhelmistonsta aiheutuvista vahingoista.
Aukot tulee korjata ja ohjelmistotalon tulee ottaa ainakin periaatteellinen vastuu reikien tukkimisesta. En asettaisi taloudelliseen vastuuseen ohjelman tekijää.
Kenessäkään ei ole vikaa. Ihminen on erehtyväinen. Kun vika huomataan, se korjataan. Simple as that and no need to claim anyone.