Tietoturva - yhteiskunnan heikko lenkki

Tietokoneohjelmien kaatuminen johtuu usein valmistajan tekemistä virheistä. Samat virheet tekevät ohjelmat haavoittuviksi hakkerien ja virusten hyökkäyksille. Valmistajat voivat kiertää vastuun, koska ohjelmistoilla ei ole samanlaista kuluttajansuojaa kuin muilla tuotteilla.

Riikka Kalsi

Kun tietoturva pettää, syyttetään yleensä tietokoneelle murtautunutta hakkeria. Harvemmin on puhuttu siitä, mikä on valmistajien vastuu murtoherkistä ohjelmista.

Oulun yliopiston tietoturvallisen ohjelmoinnin tutkijaryhmä OUSPG on sitä mieltä, että tietoturvan pettäminen johtuu huonolaatuisista ohjelmista, ei hakkereista.

”Tietoturva on laiminlyöty ohjelmistojen kehittelyssä. Kehitys junnaa paikoillaan. Koneet ovat yhä tehokkaampia, mutta toimintavarmuus tuntuu olevan kehityksen ulkopuolella.”

Oululaistutkijat väittävät ohjelmistojen käyttöympäristöjen muuttuneen niin monimutkaisiksi, että tietoturva on viime vuosina jopa huonontunut. Tutkijaryhmällä on väitteelleen vankka pohja. Professori Juha Röningin johtama OUSPG eli Oulu University Security Programming Group testaa ohjelmistojen toimintavarmuutta ja raportoi haavoittuvuuksista valmistajille.

Ryhmä on viiden toimintavuotensa aikana noteerattu alan tutkimuksen ehdottomaan kärkeen.

Hiljattain julkistettiin oululaisten löytämä haavoittuvuus, joka kuuluu vakavimpiin tietokoneohjelmista koskaan löydettyihin. Viallinen osa piilee useimmissa internetiin kytketyissä laitteissa. SNMPv1 -protokollan haavoittuvuus koskee yli kahtasataa maailman johtavaa ohjelmistovalmistajaa.

Hakkeri pystyisi tätä vikaa hyväksikäyttäen kaatamaan laajoja osia internetistä. Alttiina hyökkäykselle olisivat kaikki laitteet, joihin ei ole asennettu korjaavaa päivitystä.

Uusia tietoturva-aukkoja yleisimmistä tietokoneohjelmista ilmenee joka päivä. Aukkojen tukkiminen merkitsee käyttäjille ja palvelinten ylläpitäjille jatkuvaa korjauspäivitysten ja turva-ohjelmien asennuskierrettä.

”Valitettavasti korjauspäivityksissä ja niin sanotuissa tietoturvaohjelmissakin on paljon ohjelmointivirheitä, koska ne tehdään usein kovalla kiireellä. Ja vaikkei virheitä olisikaan, uuden ohjelman asennus lisää aina käyttöympäristön monimutkaisuutta. Kun on paljon liikkuvia osia, on todennäköisempää, että jokin menee vikaan.”

”Päivityksillä ja tietoturvaohjelmilla on mahdoton korjata tilannetta, jos ohjelmiston laatu on alunperin huono”, tutkijat sanovat.

Ohjelmistovalmistajat puolustelevat tietoturvallisuuden puutteita tavallisesti väittämällä, etteivät käyttäjät ole valmiita maksamaan turvallisuuden testaamisesta aiheutuvia kustannuksia.

Tätä on vaikea uskoa. Yleensä turvallisuus on kuluttajille tärkeää. Kuka ostaisi auton, jota ei ole lainkaan testattu turvallisuuden varalta.

Tietokoneohjelmien valmistajat väittävät, että käyttäjiä kiinnostaa ohjelmien nopeus, uudet ominaisuudet ja näyttävä ulkoasu. Kilpavarustelu ominaisuuksilla johtaa siihen, että uusia ohjelmia suolletaan markkinoille keskeneräisinä. Uudet versiot ohjelmista rakennetaan vanhojen versioiden pohjalle, joten vanhat virheet periytyvät.

OUSPG:n tutkijat arvelevat, että osittain virheitä saattaa selittää ohjelmoijien puutteellinen ammattitaito. Erilaisten ohjelmointiratkaisujen vaikutuksista tietoturvallisuuteen ei tiedetä tarpeeksi.

Oululaistutkijoiden mielestä kustannuksiin vetoaminen ei riitä perusteeksi sille, että ohjelmat ovat heikkolaatuisia.

”Laadukkaiden ohjelmistojen tekeminen ei välttämättä ole sen kalliimpaa kuin huonojenkaan. Kyse on välinpitämättömyydestä tai vääristä asenteista,” OUSPG:n tutkijat sanovat.

Valmistajat eivät mielellään ota kritiikkiä vastaan. Monet valmistajat vastaavat pitkällä viiveellä heille lähetettyihin haavoittuvaisuusraportteihin, tai eivät vastaa ollenkaan. Ohjelmistot tulisi myös korjata perusteellisesti. ”Pienen reiän tukkiminen ei auta, jos kokonaisuus vuotaa kuin seula,” tutkijat toteavat.

Ohjelman toimintahäiriöt uhkaavat jo sinänsä tietoturvaa, vaikka hakkereilla tai viruksilla ei olisi mitään osuutta asiaan.

Pelkkä sisäisen tietoverkon kaatuminen tai internet-yhteyden katkeaminen lamauttaa pahasti yrityksiä ja julkisia laitoksia. Ohjelman kaatuminen saattaa vääristää tietokoneelle tallennettuja tietoja. Tiedostot saattavat hävitä, muuttua tai siirtyä paikasta toiseen.

Ei ole samantekevää, jos kemialliset kaavat muuttuvat tehtaan tietokoneella tai pankkitilin saldosta pyyhkiytyy nollia pois. OUSPG:n tutkijoiden mukaan on harhaa, etteivät uudet tietokoneohjelmat kaatuisi yhtä usein kuin aikaisemmat.

”Uusissa ohjelmissa kaatumiset on usein taitavasti naamioitu. Ohjelma vain hidastuu tai jumittuu sen sijaan, että ilmoittaisi rehellisesti kaatuneensa.”

”Käyttäjä ei siis välttämättä edes huomaa, että jokin on mennyt pahasti vikaan.”

Lainsäädännölliset keinot haastaa epäkelpojen ohjelmistojen valmistajat oikeuteen ovat niukat. Valmistajat voivat kiertää kuluttajansuojalakia lisenssisopimuksilla. Sopimusoikeudellisesti näiden sopimusten laillisuus on kyseenalainen, mutta ennakkotapauksia ohjelmistovalmistajien haastamisesta oikeuteen ei ole Suomessa vielä ollut.

Ennen tietokoneohjelman asentamista käyttäjä joutuu hyväksymään sopimuksen, jossa valmistaja kieltäytyy vastaamasta ohjelman toimintahäiriöistä ja tietoturva-aukoista. Käyttäjälle jää ainoaksi vaihtoehdoksi ottaa ohjelma käyttöön omalla vastuullaan.

Hyllytavarana saatavia ohjelmistoja kuluttajansuoja koskee vain sikäli, että tuote vaihdetaan, mikäli sitä ei saada lainkaan toimimaan.

Kuka sitten korvaa, kun tietoturva pettää? Soittokierros suomalaisiin vakuutusyhtiöihin paljasti, että vakuutuksia ei ole saatavilla sen paremmin tietomurtojen, virustuhojen kuin ohjelmointivirheidenkään varalle.

”Miksi vakuuttaisimme sellaisia vahinkoja, joista tuotteen valmistajat eivät itsekään ota vastuuta,” Mari Koivisto vakuutusyhtiö Pohjolasta hoksauttaa.

Sähkölampuille on olemassa turvallisuusluokitukset. Lampun mukana saa ohjeet siitä, missä oloissa laitetta voi turvallisesti käyttää. Tietokoneohjelmille tällaisia turvaohjeita ja -luokituksia ei ole.

Erityistä tietoturvallisuutta vaativille sovelluksille, kuten sairaaloissa, puolustusvoimissa tai ydinvoimaloissa käytettäville ohjelmille on turvallisuusluokituksensa. Mutta näihinkin ohjelmiin jää kysymysmerkkejä. Lähes kaikkien ohjelmistojen valmistuksessa on pakko käyttää osia, joiden turvallisuudesta ei ole varmuutta.

”Valmistajien, myyjien ja tietoturvakonsulttien väitteet tuotteidensa turvallisuudesta pohjautuvat yleensä enemmän uskoon kuin todelliseen tietoon,” eräs OUSPG:n tutkija toteaa.

Linux-ohjelmistot poikkeavat muista ohjelmistoista siinä, että niiden lähdekoodin tutkiminen on kaikille sallittua. Kuka tahansa voi perehtyä ohjelman rakenteeseen ja tehdä siihen omia muutoksiaan.

OUSPG:n tutkijoiden mielestä koodin avoimuus ei välttämättä ratkaise tietoturvaongelmia. Heidän mukaansa koodia tutkimalla on vaikea jäljittää virheitä ja päätellä, miten ohjelma käyttäytyy kokonaisuutena.

”Linuxin tekemisessä on ollut liian monta kokkia sopassa, jotta kokonaisuus olisi hallittu. Linux on liian monimutkainen. Turvallinen ohjelma on mahdollisimman yksinkertainen ja selkeä,” sanoo Marko Laakso.

Oululaistutkijoiden mukaan paras keino varmistua ohjelmistojen laadusta on tehdä ne niin huolellisesti kuin mahdollista. Insinöörikoulutuksen alusta alkaen tulisi kiinnittää paljon nykyistä suurempaa huomiota tietoturvalliseen ohjelmointiin.

Tutkijaryhmä peräänkuuluttaa ammattietiikan määrittelyä kaikissa ohjelmistoalan yrityksissä. OUSPG on aloittanut eettisten ohjeiden laatimisen omalle toiminnalleen.

”Ohjelmistoala on tekniikan alana niin nuori, että ammattietiikan vakiintuminen käytäntöön on vielä kaukana. Ohjelmoijien tulisi sitoutua ammattieettisiin ohjeisiin, ja näiden ohjeiden noudattamista pitäisi valvoa tehokkaasti,” tutkijat sanovat.

”Olemme tekemisissä erittäin monimutkaisten asioiden kanssa. Rakennamme järjestelmiä, joista emme tarkalleen tiedä, miten ne toimivat. Ehkä kolmensadan vuoden kuluttua voimme perustellusti sanoa, että osaamme tämän homman.”

”Siihen saakka olisi viisainta, ettemme laske aivan kaikkea tietotekniikan varaan. Ihminen osaa monet asiat paremmin kuin kone.”

Lisätietoja:

www.ee.oulu.fi/research/ouspg

www.onlineethics.com

www.cert.org

Creative Commons -lisenssi
Artikkelin lähde Kaleva