Päivitysten hallinta on yhä tärkeämpää
13.6.2003 15:45 Ohjelmointi- ja suunnitteluvirheistä johtuvista ohjelmien haavoittuvuuksista on muutamassa vuodessa tullut vakava uhka tietoturvallisuudelle. Tietoturva-aukkoja löydetään jatkuvasti eri ohjelmista, mikä asettaa kovat vaatimukset järjestelmien ylläpidolle; korjauspäivityksiä pitäisi hakea ja asentaa tämän tästä, jos haluaa välttyä ongelmilta.
Tietoturva-aukkoja käytetään hyväksi kiihtyvällä tahdilla. Sen lisäksi, että haavoittuvuuksia hyödyntämällä pyritään tunkeutumaan suojaamattomiin järjestelmiin, aukkoja osaavat käyttää myös haittaohjelmat. Korjauspäivitysten hallinta, patch management, onkin tietoturvan toteutumisen kannalta välttämätön asia.
Tunnetuilta haavoittuvuuksilta suojautuminen on tärkeää taistelussa haittaohjelmia vastaan. Esimerkiksi verkkomatojen leviäminen vaikeutuisi huomattavasti, jos järjestelmät pystyttäisiin pitämään jatkuvasti päivitettyinä – tai jos valmistettaisiin ohjelmia, joissa ei ole virheitä. Käytännössä virheettömiä ohjelmia ei ole, joten ongelmaan täytyy varautua päivittämällä niitä aina, kun haavoittuvuuksia löydetään.
Valtaosa tietoturva-aukoista löytyy Microsoftin ohjelmista ja Windows-käyttöjärjestelmän eri versioista. Muutamassa vuodessa Microsoft on julkaissut noin 250 korjauspäivitystä.
Muissakin ohjelmissa aukkoja on, samoin käyttöympäristöissä, esimerkiksi Unixissa ja Linuxissa. Ylivoimaisesti suurimmat ongelmat ovat kuitenkin toistaiseksi aiheutuneet Windows-ympäristön haavoittuvuuksista.
Virustorjunnan rinnalle
Päivitysten hallinta on yhtä tärkeä osa haittaohjelmilta suojautumista kuin virustorjuntaohjelman käyttö – monen mielestä jopa tärkeämpi.
Selain- ja sähköpostiohjelmat sekä käyttöjärjestelmä tulisi pitää ajan tasalla siinä missä virustorjuntaohjelmakin. Päivitysten merkitys on toistaiseksi kuitenkin jäänyt hämäräksi ainakin tietokoneen peruskäyttäjille.
Slammerin kaltaiset verkkomadot leviävät tietoturva-aukkojen kautta ennennäkemättömän nopeasti tuhansiin koneisiin. Joissakin tapauksissa madon hyökkäykseltä välttyisi jo sähköposti- ja selainohjelmien tehokkaalla "?pätsäämisellä"? ja varovaisella toiminnalla, vaikka ei virustutkaa olisi asentanutkaan.
Virustorjunnasta kannattaa silti aina huolehtia tätä tarkoitusta varten tehdyn ohjelman avulla. Jos tietokoneelle ei ole asennettu virustorjuntaohjelmaa, käyttäjä ei voi tietää onko kone puhdas haittaohjelmista – paitsi jos hän voi olla varma siitä, ettei kone ole koskaan ollut yhteydessä yhteenkään toiseen koneeseen, ettei se ole ikinä ollut kytkettynä minkäänlaiseen tietoliikenneverkkoon ja ettei siihen ole kertaakaan syötetty ainoatakaan levykettä, cd- tai dvd-levyä, romppua eikä minkäänlaista massamuistilaitetta, kuten ulkoista kiintolevyä.
Virustorjuntaohjelma on siis myös hyvin tärkeä osa haittaohjelmien pysäyttämistä. Varsinkaan yrityksillä ei enää ole varaa jättää virustorjuntaa hoitamatta. Etä- ja mobiilityön lisääntyessä kasvavat myös haittaohjelmien riskit.
Päivittäminen syö yrityksen resursseja
Yrityksissä järjestelmien päivittäminen on muuttumassa jokapäiväisestä rutiinista kokopäiväiseksi työksi. Haavoittuvuuksien korjaamisesta on tullut yksi tärkeimmistä arkipäivän tietoturvakysymyksistä.
Tietoturva-aukkojen valtava määrä vaatii runsaasti korjauksia, mikä puolestaan edellyttää yritykseltä melkoisia resursseja. Tilanteen seuranta ja päivitysten asentaminen vaatii oman aikansa, mutta lisäksi se sitoo henkilöstöä muista tehtävistä.
Jatkuva päivittäminen voi johtaa tilanteeseen, jossa yrityksen tietoturvatoimintoja ei päästä kehittämään, sillä it- ja tietoturvahenkilöstö on kiinni ohjelmapäivityksissä. Tietoturva toimii tällöin kauhun tasapainossa, jossa kaikki aika menee yrityksen elintärkeiden toimintojen suojaamiseen. Aika ei enää riitä siihen, että parannettaisiin suojausjärjestelmää, vaan on tyydyttävä löytyvien aukkojen paikkaamiseen.
Ohjelmista apua päivittämiseen
Tietoturva-aukkoja julkistetaan verkossa useilla foorumeilla, joista suurin osa kuitenkin avautuu vain asiantuntijoille. Peruskäyttäjän kannattaa suunnata Viestintäviraston CERT-FI-yksikön sivuille, joilta saa tiedon tärkeimmistä haavoittuvuuksista sekä linkkejä aukkojen paikkausohjeisiin.
Päivitysten hallintaan on myös olemassa apuohjelmia. Windows Update on Microsoftin oma järjestelmä, joka kertoo käyttäjälle, kun uusia päivityksiä on saatavilla. Windows Update kuuluu XP- ja 2000 SP3 -käyttöjärjestelmäversioihin.
Windows Update nousi joitakin kuukausia sitten otsikoihin, koska se kerää käyttäjän järjestelmästä tietoa, jonka se lähettää edelleen Microsoftille. Ohjelmistoyhtiön mukaan kerätyt tiedot ovat välttämättömiä Windows Updaten toiminnan kannalta ja sen keräämiin tietoihin voi tutustua Windows Update -sivuilla.
Yrityksille Microsoftilla on oma Software Update Service (SUS), jonka avulla järjestelmävastaavat voivat automatisoida päivitykset ja asennukset työasemiin. SUS perustuu samaan tekniikkaan kuin Windows Update, joka on tarkoitettu kuluttajille ja pienyrityksille. SUS kuitenkin seuraa vain niitä päivityksiä, jotka Microsoft on määritellyt erittäin tärkeiksi (critical update).
Lisäksi saatavilla on muiden valmistajien patch management -ohjelmia, jotka etsivät koneelta puuttuvia päivityksiä sekä imuroivat ja asentavat ne tarvittaessa käyttäjän koneelle tai yritysverkon työasemiin.
Osa kokonaistietoturvaa
Yrityksille ja organisaatioille päivitysten automatisointi alkaa olla itsestään selvä asia. Kotikäyttäjille päivittäminen on vielä varsin tuntematon aihe. Apuohjelmista on hyötyä peruskäyttäjällekin, kunhan muistaa, etteivät ne ole autuaaksitekeviä suojia vaan pikemminkin apuvälineitä.
Windows Update auttaa vasta siinä vaiheessa, kun Microsoft on tehnyt päivityksen ja lisännyt sen palveluun. Jos käyttäjä on laittanut korjauspäivitysten automaattisen lataamisen Windowsin asetuksiin, hänen ei tarvitse itse hakea paikkaustiedostoja Microsoftin www-sivuilta, vaan käyttöjärjestelmä kertoo hänelle kun niitä on saatavilla.
Kotikäyttäjä voi omalla toiminnallaan vaikuttaa siihen, miten hyvin hänen tietokoneensa ja sillä olevat tiedot on suojattu verkottuneen maailman uhkia vastaan. Säännöllinen ohjelmien päivittäminen on tärkeä osa tietoturvan kokonaisuutta.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen 15:01
- Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja 11:49
- Facebook Camera ottaa ja jakaa kuvia iPhonessa 07:00
- Google tarjoaa hakijalle syntetisaattorin 17:11
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Angry Birdsia voi pelata vaikka syömäpuikoilla 16:00
- Korkein oikeus kylmänä tunnetulle piraatille 13:59
- Iron Skyn jälkeen tulee 3d-Hitler 22:01
- Lisää
Poiminnat
Digiyesterday
Kolme vuotta sitten
Mars-mönkijän matkamittarissa 10 mailia
27.05.2009 Nasan yli viisi vuotta Marsia tutkinut mönkijä Opportunity taivalsi maanantaina ohi kymmenen mailin rajapyykin.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
