Tietoviikko

Puhtaanapito

Softatalon 7 tapaa välttää tietoturvayhteistyö

Kollegani meni sohaisemaan muurahaispesään kritisoimalla Computerworldissa julkaistussa kolumnissaan rämäpäistä tapaa, joilla haavoittuvuuksia taas tuotiin julkisuuteen tämän kesän tietoturvatapahtumissa. Tiivistäen: ohjelmistojen valmistajille kerrottin ilmoitusasiana, että tietoturvaongelman yksityiskohdat kerrotaan julkisuuteen lähipäivinä oli korjausta saatavilla tai ei.

Artikkelin pohjalta on käyty keskustelua kansainvälisten tietoturvayhteisöjen piirissä. Edustettuna olleet ohjelmistovalmistajat ovat luonnollisesti paheksuneet tapaa, jolla vikaraportointi tehdään. Tieto viasta toimitetaan valmistajille yleensä varsin myöhään jos ollenkaan, jolloin luotettavasti toimivan korjauksen laatimiselle jää liian vähän aikaan. Julkiset lausunnot ovat kärjistäviä tai jopa ilkkuvia, eikä draamaa rakastava lehdistö pyri ainakaan liennyttämäään vastakkainasettelua. Epäiltiin, että julkistusten tekijöiden todellisena tavoitteena tuskin on ohjelmistojen turvallisuudesta riippuvien loppukäyttäjien suojeleminen.

Niin sanotun full-disclosure-filosofian kannattajilla on toki omat perustelunsa tekemisilleen. Heidän mielestään useimmilla ohjelmistotaloilla on pitkät perinteet vikojen kiistämiseen ja korjausten laiminlyöntiin. Jos asioista ei tehtäisi julkisia, ne haudattaisiin ja ohjelmistojen käyttäjät olisivat vielä turvattomampia, he väittävät. En kiistä, etteikö tämä joskus pitäisi paikkaansa. Ei kuitenkaan aina.

Vastuullisesti toimivien ohjelmistotalojen edustajat kummastelivat, vieläkö näitä kovakorvaisia firmoja muka piisaa. Onko tilanne tosiaankin sellainen, että kovat otteet ja negatiivisella julkisuudella uhkaaminen ovat ainoa tapa saada viat korjattua?

Koska Cert-fi:ssä työskennellessä on tullut nähtyä kaikenlaista, voin todeta, että vaikka pääsääntöisesti meillä on ilo työskennellä erittäin vastuullisten ohjelmistotalojen kanssa, niin näitä kovakorvaisiakin tapauksia valitettavasti tulee vastaan. Emme oikein itsekään tiedä, miten näiden yritysten tai ohjelmistoprojektien kanssa oikein tulisi toimia. Nimien tiputtelun sijasta päätimme kuitenkin luoda oman luokituksen, johon sijoittelemme hankalia firmoja. Tukevasti kieli poskessa tosin.

Yhteistyökyvyttömien ohjelmistovalmistajien luokittelujärjestelmä

1. Tavoittamattomat: Näiden ohjelmistojen valmistajia on turha yrittää lähestyä. Kenenkään ei tiedetä siinä onnistuneen. Tähän kategoriaan kuuluvat myös ne ohjelmistot, joiden valmistajaa ei tunneta.

Harmillisen usein kyse on puhtaasta ajattelemattomuudesta: yrityksen tuoteturvallisuudesta vastaavien tahojen yhteystietoja käsitellään kuin yrityssalaisuuksia eikä tuotteita koskevia vikaraportteja ole valmistauduttu käsittelemään kuin asiakaspalautteen kautta.

Tähän kategoriaan kuuluvia toimijoita löytyy Suomesta luvattoman paljon. Kun ongelmaa on lopulta päästy palaverissa selvittämään, isännät ovat lähestulkoon lyöneet kämmentä otsaansa: "ilmankos meille tulee niin vähän raportteja!"

2. Mykät: Nämä ovat ohjelmistotaloja, joihin lähetettyihin viesteihin ei koskaan vastata ja puhelut päätyvät parhaimmillaankin vastaajiin.

Joskus pohdimme itsekin, miten tavoittamattoman ja mykän yrityksen erottaa toisistaan. Pääsääntöisesti kyse on mykästä, jos yrityksestä saadaan selvitettyä muitakin yhteystietoja kuin vaihteen numero tai myynnin sähköpostiosoite.

3. Pudokkaat: Nämä ohjelmistovalmistajat osallistuvat tiedossamme olevan haavoittuvuuden selvittelyyn, mutta jättävät leikin sikseen ennen kuin vika saadaan korjattua.

Kaikissa haavoittuvuuskoordinointiprojekteissamme on ollut pudokkaita. Kuulisimme itsekin mielellämme perusteluja yhtäkkiseen peräytymiseen.

4. Lörpöt: Positiivista on, että nämä ohjelmistovalmistajat ovat kiinnostuneita korjaamaan tietoonsa saatetut viat ohjelmistoissaan. Yleensä jopa heti ja siltä istumalta!

Ongelmaksi kuitenkin muodostuu se, että yleensä vaadimme lykkäämään asian julkistamisen kunnes kaikki projektissa mukana olevat tahot pääsevät samalle viivalle. Erityisesti joissakin avoimen lähdekoodin projekteissa tällainen tiedon panttaaminen on filosofisesti vieras asia, eikä silloin jää muuta vaihtoehtoa kuin jättää asia sikseen kunnes haavoittuvuudesta tulee julkinen.

Yöunia näiden lörppöjen vuoksi emme ole menettäneet, mutta onhan se aina jännittävää seurata, miten nopeasti korjaukset saadaan ulos ja otetaan käyttöön.

5. Teflonit: Nämä ohjelmistovalmistajat ovat virallisesti linjanneet, ettei heidän tuotteissaan ole vikoja. Kanta ei järky edes kiistattoman todistusaineiston edessä.

Pyrimme välttämään juupas-eipäs-keskustelun. Omapahan on asiansa, jos valmistaja virallisessa tiedotteessaan haluaa väittää mustan valkoiseksi - viime kädessä asiakas äänestää rahoillaan jos tuollaisesta jää kiinni.

6. Laadunhallintansa ulkoistaneet: Nämä ohjelmistovalmistajat kieltäytyvät ottamasta haavoittuvuudesta kertovia raportteja vakavasti ellei niitä ole seikkaperäisesti dokumentoitu. Tämän koulukunnan kanssa on periaatteessa helppo olla samaa mieltä - suosituimpien ohjelmistojen valmistajille kun kitistään jatkuvalla syötöllä "outouksista", "kaatumisista" ja "kissa söi kotitehtävät" -tyylisistä sattumuksista. Niitä ei maksa vaivaa selvittää, ellei ongelmaa ole kuvattu toistettavasti.

Mutta asia ei ole aina niin yksinkertainen. Haavoittuvuuksia etsitään nykyisin syöttämällä sovelluksille systemaattisesti roskaa ja tarkkailemalla vaikutuksia. Yksittäisten vikojen dokumentoinnin sijasta tutkijat kehittävätkin tehokkaita työvälineitä, joilla syötetestaus voidaan automatisoida. Tällöin löytyy suuri määrä vikatilanteita, joita analysoimalla saattaa paljastua systemaattisia virheitä ohjelmiston toteutuksessa tai jopa suunnittelussa. Pullonkaulaksi kuitenkin nousee se, että kenelläkään tutkijalla ei ole käytännössä mahdollista hankkia haltuunsa kaikkia maailman ohjelmistoja ja laitteistoja testausta varten. Tuntuisi fiksummalta lähestyä ohjelmistovalmistajia ja tarjota testaustyökalua heille: "Kokeilkaa itse, rikkooko tämä jotakin."

Oululaisten tutkijoiden taksonomian mukaan nämä haavoittuvuudet kuuluvat "OUSPG-metatasoon" 1 tai 2. (Lisätietoja tämän OUSPG-esityksen sivulta 8.)

7. Vihamieliset: Näiltä ohjelmistovalmistajilta tulee silmille juristeriaa, uhkauksia ja loukkauksia. Haavoittuvuuksien löytäjien kertoman mukaan nimenomaan heidän kokemansa tyly kohtelu on syypää full-disclosure-leirin radikalisoitumiseen.

Cert-fi:n väkeä haastatellessani en kuullut kenenkään törmänneen tällaisiin ohjelmistovalmistajiin. Olisikohan sittenkin kyse siitä, että niin metsä vastaa kuin sinne huudetaan..?

Kirjoittaja on Viestintäviraston tietoturvayksikön päällikkö.

Puhtaanapito

Matovaara ohi - eikun hups, ei olekaan

Viime syksyllä kirjoitin erääseen julkaisuun: "[vuosituhannen alussa] tavanomaisia tietoturvaongelmien aiheuttajia olivat verkkomadoiksi kutsutut tietokoneesta toiseen leviävät haittaohjelmat." Koko teksti oli kirjoitettu ikään kuin madot eivät enää nykyisin aiheuttaisi ongelmia.

Onneksi tekstiäni ei koskaan käytetty julkaisun lopullisessa versiossa.

Matojen ei tosiaan pitänyt olla ongelma. Yleisimmästä käyttöjärjestelmästä ei ollut enää vähään aikaan löytynyt helposti madoiksi jalostettavia haavoittuvuuksia. Ei ainakaan sellaisia, joita ei olisi voinut helposti piilottaa henkilökohtaisen palomuurin avulla. Tämän päivän kuuman trendin piti olla haittaohjelmien levittäminen murrettuja www-palvelimia ja ihmisten hyväuskoisuutta hyödyntämällä: "luota minuun ja klikkaa tästä".

Sitten joku käynnisti aikakoneen. Windowsin lähiverkkopalveluista löytyi lokakuussa reikä, jota ei niin vain palomuurilla suojattukaan. Yritysten sisäverkoissa käyttäjien ja työasemien kun on pakko päästä kiinni palveluihin. Vaikka sitten pahat mielessä.

Aavistelimme Viestintäviraston tietoturvayksikössä pahinta ja nostimme varoituslipun salkoon. Rauhoittelevasti kuitenkin kerroimme, että päivittämällä tästä selvittäisiin. Aikaakin olisi hyvin ennen yritysten muutoshallinnan rutiineihin kuuluvaa joulukauden jäädytystä.

Muistan, että päällimmäinen huolenaiheeni tuolloin oli, ehtisimmekö lähettää oman tiedotteemme ulos ennen Suomessa samaan aikaan vierailulla olleita Australian-kollegoitamme. Leikkimielinen kilpailumme ratkesi vierailijoiden eduksi. AusCERT:in tekstiviestihälytys piippasi hetkeä ennen jälkiruokaa. Omamme tuli ulos vasta kun suut olivat jo makeana.

Työmme oli tehty ja matovaara vältetty?

Toki tiedossamme on, että verkossa sattuu ja tapahtuu koko ajan. Testatessamme taannoin kansalliseksi aikomaamme haittaohjelmasensoria poimimme muutaman kuukauden aikana kymmeniä tuhansia haittaohjelmanäytteitä ja rekisteröimme satoja tuhansia hyökkäysyrityksiä. Verkkoskannereita ja matoja - kohdentamatonta mölinää. Eräänlainen internetin vastine kolmen kelvinin taustasäteilylle. Tämän ei pitäisi vaikuttaa keskivertokäyttäjään, jonka tietokone on edes osapuilleen päivitetty ja palomuurattu. Vastustuskykyä vailla oleva tietokone kyllä korkattaisiin minuuteissa.

Joulun välipäivinä alkoi sitten kuulua kummia: it-palvelutalojen, kuntayhtymien ja monien muiden vähäistä suurempien yhteisötilaajien verkoissa riehui matoepidemioita. Raportit olivat jokseenkin ristiriitaisia: tietokoneet olivat joko päivitettyjä tai päivittämättömiä. Tartunnan ne saivat joka tapauksessa.

Uudistimme kehotuksemme päivittää tietokoneet. Keskityimme toistamaan tätä perusviestiä seuraavan parin viikon ajan.

Nyt jälkikäteen arvioiden tuota voisi pitää osatotuutena. Conficker- ja Downadup-nimillä tunnettu mato hyödynsi useita leviämisreittejä, joista tämä Windows-haavoittuvuus taisi olla harmittomin. Lähiverkkoon päästyään mato hyödynsi huonoja salasanoja ja ennen kaikkea Windowsin AutoRun-ominaisuutta. Niiltä suojautumiseksi ei riittänyt päivittäminen. Tietokoneet olisi pitänyt koventaa jo alusta alkaen.

Lisäksi jälkikäteen on selvinnyt, että varsin moni organisaatio haaskasi paljon aikaa ja työpanoksia yrittäessään siivota tartunnan saaneita tietokoneita. Aina jokin komponentti - tai kokonaan toinen haitake - jäi löytymättä ja kerran siivottu kone saastui uudestaan. Oma perusohjeemme on jo useiden vuosien ajan ollut, että haittaohjelman tartuttama tietokone kannattaa aina asentaa uudestaan.

Nähtävästi tämänkin olisi voinut mainita, kun laadimme tiedotteita.

Kirjoittaja on Viestintäviraston tietoturvayksikön päällikkö.

Puhtaanapito

Mun selain on parempi kuin sun selain

Viime päivinä tietoturva-alalla tunteita on kuumentanut kaikkia Internet Explorer -selaimen versioita haavoittava ohjelmointivirhe. Ennestään tuntematon haavoittuvuus oli ilmeisesti lipsahtanut kiinalaisilta hakkereilta julkiseen jakeluun samana iltana, jolloin Microsoft julkaisi kuukausittaisen päivityspakettinsa.

Mönkään meni, mikäli olivat aikeissa myydä tietonsa kohdistetuissa hyökkäyksissä käytettäväksi. Tällaisille ennakkotiedoille löytyisi helposti vakavaraisia maksajia. Haavoittuvuutta ei myöskään ehditty käyttää laajemmassa mitassa tavanomaiseen rötöstelyyn. Toivottavasti hutiloivat jatkossakin.

Näin laajavaikutteinen ja vakava haava on nykyisin sen verran harvinainen tapaus, että se herätti kohua ihan päivälehtiä myöten. Korjaustahan siihen ei ollut, ja kaikki väliaikaiset suojautumiskeinot kuulostivat maallikon korvaan heprealta. Lehdistö kärtti myös Cert-Fi:ltä lausuntoa, jossa sanottaisiin että viimeistään nyt olisi syytä ottaa jokin muu selain käyttöön.

Tällaista lausuntoa emme kuitenkaan anna. Samana päivänä Internet Explorerin päivitysten kanssa julkaistiin päivitykset myös Firefoxiin ja Operaan. Osansa sai myös Applen käyttöjärjestelmä, jota voi kutitella ikävässä sävyssä Safari-selaimen kautta. Kenen selain olikaan se paras?

Selain on monelle niin elintärkeä ohjelma, ettei sen vaihtaminen onnistu noin vain. Voi olla, ettei vaihtoehtoisella selaimella voikaan käyttää sitä peliä tai tätä laskutuslomaketta. Tällöin kehotus selaimen vaihtamiseen kuulostaa ratkaisun sijasta viisastelulta. Näsäviisaat yleensä jättävät paljon kertomatta.

Mikään ohjelmistojen valmistaja ei tietenkään sano omaa tuotostaan huonoksi. Jokainen tuo mielellään esiin sellaisia seikkoja, jotka korostavat oman ratkaisunsa tietoturvan paremmuutta muihin verrattuna. Yhdellä valmistajalla kyse voi olla huippuunsa viritetystä turvallisesta kehitysprosessista, toisella kehitysversioita testaavasta uskollisesta nörttijoukosta, kolmannella taas viimeisimpien testauskeinojen käyttämisestä.

Kaupallisten toimijoiden julkaisemat tutkimukset ovat oma lukunsa - lähes kaikki ohjelmistovalmistajat ovat julkaisseet tutkimustuloksia todistamaan omien tuotteidensa turvallisuuden ylivertaisuudesta. Mainitsematta toki jää, että näissä mittarit valitaan itselle sopivimmiksi, ja faktoja, kuten nyt vaikka haavan vakavuutta, tulkitaan melkoisen luovasti. Kaikkihan tietävät, mitä tilastojen totuusarvoista on tapana sanoa.

Tietoturva on yleisesti ottaen aika heikolla tolalla suurimmassa osassa ohjelmistoista. Vanha perustotuus on, että virheiden määrä kasvaa suhteessa järjestelmän kokoon ja monimutkaisuuteen. Selainohjelmistot ovat ajan saatossa paisuneet varsin mittaviksi, koska niiden pitää suurin piirtein pystyä tanssimaan ripaskaa valot vilkkuen ja keittämään tausta-ajona kahvia. Välillä tulee sellainen olo, että minun pitäisi pyytää selaimeltani anteeksi lueskellessani pelkkää tekstiä sisältäviä webbisivuja. Vähän kuin pyytäisi supertietokonetta laskemaan 2 + 2.

Näitä koodirivien määrää paisuttaneita lisäominaisuuksia olemme loppukäyttäjinä itse toivoneet. Tai ainakin hiljaisesti sietäneet. Tämän seurauksena monet yleisesti käytetyistä ohjelmistoista ovat haavoittuvuustutkijan silmin tarkasteltuna varsinaisia avohaavoja. Kannattaa alusta alkaen varautua siihen, että niitä pitää päivittää jatkuvasti. Valmistajasta riippumatta.

Selain ei siis välttämättä vaihtamalla parane.

Kirjoittaja on Viestintäviraston tietoturva-asiantuntija.

Puhtaanapito

Roskapostivyöryn voi pysäyttää - hetkeksi

En tainnut olla ainoa tietoturva-asioita seuraava, jonka leuka loksahti marraskuussa. Internetistä hyökyvän roskapostin määrä putosi yhtäkkiä noin kolmannekseen sen jälkeen kun San Josessa McColo-nimisen yhtiön konesalissa sijainneet palvelimet menettivät tietoliikenneyhteytensä. Eipä olisi uskonut!

Se oli kyllä tiedossa, että jotakin hämärää McColon verkoissa oli. Lukuisat haittaohjelmat latasivat sieltä päivityksiä ja ottivat yhteyttä komentoja saadakseen. Tavallaan soittivat kotiin. Varsinaisen meluisan työn, eli roskapostien lähettämisen, suorittivat kuitenkin tuhannet ja taas tuhannet tavallisten laajakaistayhteyksien takana majailevat bottikoneet. Sijaiskärsijöiden muodostama savuverho piilotti kontrollirakenteet.

Ulkopuolisen on aina hieman vaikea nähdä sumuverhon taakse. On vaikea ennustaa, millaisen vaikutuksen yksittäisten kohteiden eliminoimisella verkosta on.

Kyse on vähän samanlaisesta oho-efektistä kuin missä tahansa vähän isommassa tietojärjestelmähankkeessa. Uuden järjestelmän käyttöönotto, vanhan korvaaminen tai tarpeettomaksi määritellyn alasajo aiheuttaa aina ylimääräisiä sydämenlyöntejä tietotekniikan ammattilaisille. Kun tietää asiasta riittävästi, ymmärtää, ettei voi koskaan tietää tarpeeksi.

Hämäräbisnestä Venäjältä

Kun loppuvuonna 2007 saimme seurata Russian Business Network -nimisen ryhmittymän julkista ajojahtia ja vaiheittaista painumista maan alle, olivat odotukset korkealla. Tämän jälkeen internet olisi turvallisempi paikka!

RBN teeskenteli olevansa kunniallinen teleyritys, jolla nyt vain sattui olemaan ihmeen paljon ongelma-asiakkaita. Eihän se moniakaan jymäyttänyt, mutta minkäs teet. Ainakin poliisit pysyivät loitolla, kun näytön kerääminen oli vaikeaa.

"Pozalujsta tavarits", me täältä Viestintävirastostakin usein kyselimme. "Voisitteko poistaa verkostanne tämän-ja-tämän haittaohjelman?" Vastauksena tuli ystävällinen harasoo ja ongelma näytti poistuneen. Paitsi, että ongelmalähde siirtyi seuraavaan ip-osoitteeseen. Tällaista kissa ja hiiri -leikkiä jaksoimme parin vuoden ajan. Sitten RBN:n umpikuja alkoi häämöttää.

RBN:n alasajolla oli kuitenkin masentavan mieto vaikutus. Roskapostin määrän mittaaminen on turhauttavan epätieteellistä, mutta kyllä se jostakin kertoo. Kuvaavaa oli se, että RBN:n poistuminen ei vaikuttanut roskapostin määrään ollenkaan. Rikollisilla oli reilusti aikaa siirtää toimintansa muualle. Jälkeen taisi jäädä tukku toimimattomia yhteystietoja, maksamattomia laskuja ja - toivon näin - jälkien kylmenemiseen pettyneitä poliisiviranomaisia.

RBN:n käyttämiä ip-osoitteita on sittemmin otettu takaisin internetiä hallinnoiva Ripe:n haltuun. Kenellekähän raukalle ne aikanaan päätyvät? Icann puolestaan perui vastikään EstDomains-nimisen verkkotunnusrekisteröijän toimiluvan. Jälkipyykkiä tullaan varmasti pesemään vielä pitkään. Molempien yritysten taustatahojen toiminta jatkuu edelleen jossakin toisaalla.

McColo oli spämmin kotikolo

Jo Intercage-nimisen operaattorin syyskuisen alasajon aikoihin sai lukea uutisointia roskapostin määrän vähenemisestä. Suomalaisilta operaattoreilta saamamme terveiset eivät kuitenkaan antaneet aihetta juhlimiseen. Samaa tuubaa tuntui tulevan edelleen joka tuutista.

Niinpä emme varsinaisesti pidätelleet hengitystä kun McColon irtikytkemisestä tuli ensimmäisiä tietoja. Voisiko tosiaankin olla, että yksi hikinen konesali tosiaan vastaa yli puolesta internetin roskapostiliikenteestä. Näköjään vastasi. Irtikytkeminen oli kaikesta päätellen tapahtunut ilman ennakkovaroitusta eikä siihen oltu tosissaan varauduttu. Muuten ei ole selitettävissä se, että roskapostin määrät eivät ole vieläkään kuukauden jälkeen nousseet aivan aiemmalle tasolleen.

On kuitenkin odotettavissa, että McColon taustalla ollut porukka saa tietoverkkorikoksia tahkoavan verkkoinfrastruktuurinsa korjattua lähes ennalleen lähiviikkojen aikana. Merkkejä aggressiivisesta uudelleenjärjestäytymisestä on jo nähtävissä.

Tällä kertaa jäljet näyttävät viittaavan Ukrainaan, mutta mistä sen tietää. Samalla tavalla kuin EstDomains ja EstHost eivät nimistään huolimatta toimineet Virosta käsin, ei UkrTeleGroup-nimen omaksunut toimijakaan taida sijaita Ukrainassa.

Mutta missä sitten?

Puhtaanapito

Maailman puhtaimpien verkkojen maa

Meille Viestintäviraston tietoturvayksikössä tulee päivittäin käsiteltäväksi tapauksia, joissa joku suomalainen on joutunut tietoturvaloukkauksen uhriksi.

Ilmoituksia tulee jatkuvana virtana. Itse asiassa satoja kappaleita, vuoden jokaisena päivänä. Väkemme kutsuu ilmoitusten käsittelyä lapioinniksi, koska se on hieman puuduttavaa, eikä työ tunnu loppuvan koskaan.

Meno vaikuttaa äkkiseltään katsottuna villiltä, mutta joitakin toistuvia teemoja näyttäisi nousevan esiin.

Kotitietokoneissa lymyää Troijan hevosia, koulujen mikroluokista lähtee Viagra-mainoksia ja yritystietokoneet levittelevät salaisuutensa ympäri internetiä.

Välillä jokin satunnainen virasto jakaa sivustoillaan vieraileville kansalaisille viruksia, urheiluseuran www-palvelimelle istutettu feikkisivusto huijaa brittipankin asiakkaita tai insinööritoimiston tulostinpalvelimen kautta ohjaillaan verkkohyökkäystä Kiinaan.

Lapiota santaan, siis!

Onneksi tätä tietoturvan ojaa on Cert-fi:ssä avattu konevoimin jo kolmen vuoden ajan.

Autoreportteriksi ristitty uskollinen kaivurimme hoitaa rutiineja väsymättä ja turhia viivyttelemättä. Tapauksia on kirjattu jo useita satoja tuhansia. Sellainen määrä datapisteitä houkuttelee tilastolliseen analysointiin.

Viime vuonna näihin aikoihin tein mielenkiintoisen havainnon: vastoin odotuksiani käsittelemiemme tapausten määrä ei kasvanut samassa suhteessa laajakaistaliittymien määrään nähden. Pitkän aikavälin trendi näytti jopa laskevalta! Olikohan jossakin laskuvirhe?

Etsiskelin vertailutietoja muualta.

Alkajaisiksi löysin Googlen tekemän tutkimuksen. Google indeksoi koko internetin muutaman päivän välein. Heidän näkemyksensä mukaan suomalaisilla www-sivuilla vieraileminen on varsin turvallista: todennäköisyys saada silmilleen haittaohjelmia on vertailuaineistoon nähden häviävän pieni.

Sittemmin myös McAfee, Symantec, Microsoft sekä espanjalainen Inteco ovat julkistaneet samaan viittaavia tilastoja. Niiden mukaan Suomesta jaetaan oleellisesti muita maita vähemmän haittaohjelmia tai tehdään verkkohyökkäyksiä.

Lähtevän roskapostinkin määrä on pysynyt varsin hyvin aisoissa. Ulkomailla meitä taputetaan olalle hyvin tehdystä työstä! Näyttäisi siltä, että lapiointi kannattaa.

Aikaisempi kokemus on opettanut, että tartunnan saaneen tietokoneen käyttäjä tai murretun palvelimen omistaja on lähes poikkeuksetta viimeinen, joka itseään koskevasta tietoturvaloukkauksesta kuulee.

Autoreportterin avulla olemme luoneet järjestelmän, jossa tieto suomalaisia koskevista tapauksista ei enää jää pölyttymään tuhansiin lokitiedostoihin vaan tieto pyritään aktiivisesti tuomaan loppukäyttäjän tietoon. Toivottavasti myös opiksi ja ojennukseksi. Vaikutukset alkavat hiljalleen näkyä.

Vaikka järjestelmässä on vielä paljon parantamisen varaa, olemme jo nyt eräällä tavalla maailman huippua. On mielestäni luvallista sanoa, että Suomessa on maailman puhtaimmat verkot, jos mitta-asteikkona käyttää haittaohjelmatartuntojen tai murrettujen palvelimien määrää.

Tätä taustaa vasten olisi houkuttelevaa sanoa, että Suomessa olisi jotenkin tietoturvallisempaa kuin muualla. Valitettavasti tämä ei kuitenkaan pidä paikkaansa. Suomi ei aiheuta uhkaa muulle maailmalle, mutta otamme iskut vastaan siinä missä muutkin.

Jos Suomen tilanne täytyy jotenkin pukea sanoiksi, suosittelen käyttämään Linnunradan käsikirjan Maata koskevaa luonnehdintaa.

Olemme muun internetin näkökulmasta katsottuna enimmäkseen harmittomia. Mutta kai tiedät, miten Douglas Adamsin kirjassa Maalle lopulta kävi…

Kirjoittaja on Viestintäviraston tietoturvayksikön päällikkö.

Kuuntele Talentumin lehtien uutiskommentteja.

Puhtaanapito

Sähköposti­tarjoajien on parannettava palveluaan

Sähköpostipalvelun merkitys koko yhteiskunnan toiminnan kannalta on kasvanut. Sitä koskevien uhkien ja tekniikan kehityksen johdosta on syntynyt myös tarve päivittää sähköpostimääräyksiä

Viestintävirasto on julkaissut syyskuun puolessa välissä uudistetun määräyksen 11 A/2008 M Sähköpostipalvelujen tietoturvasta ja toimivuudesta. Määräyksellä asetetaan sähköpostipalvelujen tarjoajille minimivelvoitteita sähköpostipalvelun tietoturvan ja toimivuuden varmistamiseksi.

Määräyksen keskeisimmät muutokset koskevat asiakkaan ja palvelimen välisten yhteyksien suojaamista, osoitteiden hallintaa sekä haitallisen sähköpostiliikenteen tunnistamista, merkitsemistä ja suodattamista.

Myös määräyksen rakennetta on selkiytetty, mikä osaltaan edesauttaa määräyksen vaatimusten käytännön toteuttamista. Alla on esitetty lyhyt kuvaus tärkeimmistä muutoksista.

Suojattu yhteys postilokerolle

Uudistetun määräyksen mukaisesti sähköpostipalveluntarjoajan on tarjottava asiakkaille ensisijaisena vaihtoehtona suojattu yhteys asiakkaan ja sähköpostilaatikon sekä asiakkaan ja lähtevän liikenteen sähköpostipalvelimen välillä.

Tällä muutoksella edistetään sähköpostipalveluiden liikkuvaa käyttöä myös sähköpostipalveluntarjoajan oman verkon ulkopuolelta, kuten esimerkiksi mobiililaajakaistaliittymistä.

Vaatimuksella estetään myös asiakkaiden sähköpostin käyttäjätunnusten, salasanojen ja sähköpostiviestien päätymistä kolmansien osapuolten tietoon asiakkaan lukiessa sähköpostejaan esimerkiksi suojaamattoman wlan-verkon kautta.

Roskaposti kuriin

Uudistuksessa on myös tarkennettu haitallisen sähköpostin tunnistamis-, merkitsemis- ja suodatusvelvoitteita.

Uuden määräyksen mukaisesti sähköpostipalveluntarjoajalla on oltava käytössään menetelmät, joiden avulla merkittävä osa sisään tulevasta ja lähtevästä haitallisesta sähköpostiliikenteestä tunnistetaan ja tämä haitalliseksi tunnistettu liikenne on joko merkittävä haitalliseksi tai suodatettava.

Palveluntarjoajan tulee kuitenkin pitää huolta siitä, että toimenpiteillä vaarannetaan mahdollisimman vähän asiallisten viestien läpimenoa.

Näillä vaatimuksilla pyritään vähentämään sähköpostipalveluun kohdistuvaa kuormitusta ja parantaa asiallisten sähköpostiviestien läpimenoa asiakkaille sekä asiakkaiden kokemaa palvelun laatua ja palvelun tietoturvaa.

Osoitteille karenssiaika

Määräykseen on myös lisätty uusi pykälä sähköpostiosoitteiden hallinnasta. Uutena velvoitteena on määritelty asiakkaalta vapautuneille sähköpostiosoitteille 3 kuukauden karenssiaika.

Sähköpostipalveluntarjoajalla on oltava myös toimintamalli harhauttaviin sähköpostiosoitteisiin liittyvien ongelmatilanteiden hallinnasta ja sen on kuvattava asiakkailleen sähköpostiosoitteiden hallintakäytännöt.

Kirjoittaja on Viestintäviraston viestintäverkkoasiantuntija.

Puhtaanapito

Sattuiko pahasti?

Mikä on itsevarman kaupunkilaisen ensimmäinen reaktio, kun hän on kävellyt kadulla päin lyhtypylvästä?

Toivottavasti kukaan ei nähnyt! Sitten pikainen ympäristön skannaus (riippuen silmälasien kunnosta) ja vähin äänin eteenpäin. Nenän ehtii oikaisemaan kotonakin.

Entäpä kanssaihmisten reaktiot? Muita naurattaa, sehän on päivänselvää. Nauravat törmäilijälle, eivät törmäilijän kanssa. Osoittelisivat varmasti sormellakin, jos kehtaisivat!

Aika ajoin minusta tuntuu samalta, kun keskustelen maineestaan tarkkojen yritysten edustajien kanssa tietoturvan petettyä. Miksi tätä tunkiota pitäisi muiden iloksi pöyhiä? Piruako se sinulle kuuluu, mitä meille on tapahtunut!

Kuuluuhan se. Taitaapa lukea jopa tehtäväkuvauksessani.

Onko pakko raportoida?

Johtamani Cert-fi (Computer Emergency Response Team Ficora) toimii kansallisena tietoturvaloukkauksia käsittelevänä viranomaisena. Keräämme tietoa tilanteista, joissa tietoturva on pettänyt, arvioimme tietoturvauhkia ja autamme mahdollisuuksien mukaan muita välttämään samat ongelmat.

Tämä jos mikä on tietointensiivistä työtä. Olemme työksemme uteliaita: kuulemme uhreja, otamme itse asioista selvää ja kysymme tarvittaessa lisää. Esitämme juuri niitä kysymyksiä, joista ulkopuolisille ei ole ollut tapana kertoa. Koska haluamme olla avuksi.

Mutta onko meille pakko kertoa?

Suomalaisessa lainsäädännössä on tältä osin merkityksellinen kansallinen erikoisuus: teleyrityksille on säädetty pakollinen ilmoitusvelvollisuus tietoturvaloukkauksista ja tietoturvauhista. Kaikille muille ilmoittaminen on vapaaehtoista. Oikeus.

Eräällä tavalla voi jopa sanoa, että tietoturvaloukkauksista ilmoittaminen Cert-fi:lle on julkinen palvelu, josta on jo maksettu, mutta jota muiden kuin teleyritysten ei ole pakko käyttää. On itse kunkin harkinnassa, haluaako ottaa yhteiskunnan tuottamista palveluista täyden hyödyn irti vai yrittääkö ratkoa ongelmaansa omin nokkineen.

Me Cert-fi:ssä pidämme kunnia-asianamme, että tuotamme asiakkaillemme lisäarvoa. Toisin kuin moni ulkomainen tietoturvaviranomainen, me emme sullo yhtään tietoa mappi ööhön. Ajatuksena on, että jokainen ilmoitus aiheuttaa toimintaa. Jalostamme ilmoitusten kautta saatavaa materiaalia ainutlaatuisella tavalla ilmoittajan ja laajemmin koko yhteiskunnan hyväksi.

Teleyritysten etu

Olemme aika ajoin pohtineet, asettaako ilmoitusvelvollisuus teleyritykset eriarvoiseen asemaan muuhun yhteiskuntaan nähden. Asiaa vuosikaudet mietittyäni ja tietoturvaloukkausilmoituksia tiskin molemmilla puolilla käsitelleenä olen taipuvainen myöntämään: asettaa. Teleyritykset ovat muuta yhteiskuntaa paremmassa asemassa.

Se, että ne eivät haluaisi raportoida ongelmistaan viranomaiselle, ohjaa niitä kehittämään omaa tietoturvallisuuden hallintaprosessiaan!

Tiedän tämän, koska olin ennen Cert-fi:lle siirtymistäni vastuussa teleyrityksen tietoturvaloukkausten käsittelyprosessista. Mitä kattavampi poikkeamien luokittelu ja pisteytys organisaatiossa on käytössä, sen varmemmin se pystyy itse arvioimaan, mitkä tapaukset ylittävät ilmoituskynnyksen. Kukapa sitä turhasta ilmoittaisi!

Tämä on yleensä myös viranomaisen etu: emme haaskaa aikaamme triviaalien tapausten käsittelyssä, mutta voimme luottaa siihen, että teleyritys on puuttunut niihinkin omalla tahollaan prosessinsa mukaisesti.

Pimittäminen paljastuu

Tietenkin ilmoituskynnystä täytyy aika ajoin koestaa. Puolin ja toisin.

Jos viranomainen lepsuilee eikä osoita aktiivisuutta, ilmoitusten virta alkaa tyrehtyä. Eikä se ole useinkaan merkki teleyrityksen tietoturvan parantumisesta saammehan toisinaan tietoomme muutakin kautta, että yrityksissä on selvitettäviä asioita.

Vastaus kysymykseemme "miksi tästä ei ole ilmoitettu, vaikka nähdäksemme pitäisi" paljastaa yleensä nopeasti, millä tolalla tietoturvallisuuden hallinnan kokonaisuus yrityksessä on. Systemaattinen ongelmien pimittäminen paljastuu ennen pitkää ja sen korjaamiseksi kyllä löydetään konstit.

Porkkanaa Suomesta

Suomessa teleyritysten velvollisuus ilmoittaa tietoturvaloukkauksista astui voimaan 1.9.2002, yli kuusi vuotta sitten. EU on ehdottanut, että vastaava tietoturvaloukkausten ilmoitusvelvollisuus ulotettaisiin lähivuosina koko unionin piiriin. Ei ole kovin yllättävää, että joissakin jäsenmaissa esitys on kohdannut vastustusta.

Ilmoitusvelvollisten joukossa muun muassa pelätään, että pakko ajaisi yritykset rangaistusten pelossa piilottelemaan tietoturvaongelmiaan sen sijaan, että niistä kerrottaisiin vapaaehtoisesti. Varmasti ajaisikin, mutta aivan holtittomaksi pimittäminen menisi, mikäli järjestelmässä olisi tarjolla pelkkää keppiä.

Suomalaisesta mallista olisi varmastikin vientituotteeksi. Se kun ei ole keppivetoinen.

Meillä Cert-fi:ssä lyhtypylvääseen törmänneeltä kysytään: ”Sattuiko pahasti? Voinko auttaa.”

Kirjoittaja on Viestintäviraston tietoturvayksikön päällikkö.

Puhtaanapito

Internet on rikki

Soisin mieluusti, että nykyistä useampi ymmärtäisi, että internet on rikki. Ihan totta. On se!

Nimittäin vasta tämän sisäistettyään osaa arvostaa sitä, että netti kuitenkin kaikesta huolimatta tuntuu enimmäkseen toimivan. Oivaltamisen tunnetta voinee verrata siihen kun Bemarin omistaja vakuuttuu, että Ladallakin pääsee perille. Konepeltiä voi joutua avaamaan useammin, mutta silti.

Viimeisen kuukauden ajan olemme olleet tietoisia jälleen uudesta tavasta, jolla internet voi olla rikki. Tiedämme sen vasta nyt, vaikka vika on muhinut pinnan alla lähes koko internetin olemassaolon ajan. Puhun nyt internetin nimipalvelun haavoittuvuudesta. Alallani haavoittuvuudeksi kutsutaan sellaista vikaa, puutetta tai toiminnallista ominaisuutta, joka muodostaa uhan tietoturvallisuudelle. Nimipalvelu ei siis ole rikki yhdentekevällä tavalla, vaan vakavasti turvallisuutta vaarantavasti. Kuulostaa pahalta, mutta onko se?

Onko nimellä väliä?

Ainakaan uutiseksi paljastus ei ole kelvannut. Ihmetyksekseni lehdistä sai pitkin heinäkuuta lukea internetin oireilun sijaan niinkin triviaalista asiasta kuin salasanojen kalastelusta. Kesätoimittajat ilmeisesti halusivat päästä helpolla. Onneksi sellaiset laatumediat kuin New York Times tai BBC eivät antaneet suomalaisen lomakauden häiritä vaan noteerasivat vakavan asian uutisvirrassaan.

Asian merkittävyyden ymmärtää, kun palauttelee mieliin, mitä konepellin alla on. Internetissä tieto kulkee paketteina, joita tuupitaan reitittimeltä toiselle vähä vähältä kohti lopullista määränpäätä. Reitittimet lukevat sujuvasti pakettien osoitekortteihin kirjattuja numeerisia osoitteita, mutta ihmiset tarvitsevat muistamista helpottamaan selkokielisempiä osoitteita - nimiä. Siihen tarvitaan nimipalvelua, joka muuntaa nimet osoitteiksi.

Ihmisten lisäksi suurin osa internetsovelluksista on täysin riippuvaisia nimipalvelusta. Sovelluksilla tarkoitan tässä yhteydessä vaikkapa sellaisia nykypäivän itsestäänselvyyksiä kuin sähköposti ja surffailu - skaipeista, juutuubeista ja ai-storeista puhumattakaan.

Nimipalvelun toimintavarmuus ja luotettavuus on siis tärkeää. Toimintavarmuutta on koeteltu aina silloin tällöin palvelunestohyökkäysten muodossa, onneksi ilman pysyviä vahinkoja. Tuore haavoittuvuus sen sijaan asettaa nimipalvelun tarjoamien tietojen luotettavuuden kyseenalaiseksi.

Kauppaketju mainostaa olevansa naapuri, jonka tunnet nimeltä. Uskallan väittää, että harva kerrostalon asukki huomaisi naapurinsa vaihtuneen jos postiluukussa näkyvää nimeä ei vaihdettaisi. Minä en ainakaan. Nimipalvelun tietojen tahallinen väärentäminen rikkoo monia asioita – jopa joidenkin sovellusten turvamallin, kuten automaattisten päivitysten osalta on havaittu.

Lomapäivityksiä

Teleyritykset ja it-palvelutalot viettivät siis heinäkuun helteet nimipalvelimiaan päivitellen. Jotkut jopa kirjaimellisesti: tarjolla olleissa päivityksissä kun oli vakavia laatuongelmia. Palvelimet joko kaatuivat tai muuttuivat alitehoisiksi nuhapumpuiksi. Suo siellä, vetelä täällä. Moni ylläpitäjä lienee komennettu töihin lomiltaan. Sittemmin suorituskykyongelmat on saatu ratkaistuksi ja nyt tarjolla pitäisi olla priimalaatuista nimipalvelua. Eikö vain? Ei aivan.

Teleyritysten lisäksi vastaavasta haavoittuvuudesta kärsiviä nimipalvelimia on sadoilla, jopa tuhansilla muilla organisaatioilla. Viestintävirastolla on listalla muutama sata puutteellisesti päivitettyä palvelinta. Teleyritysten mukaan luku tuntuu pieneltä. Lisäksi yritysten verkot ovat täynnä palomuureja ja muita aktiivilaitteita, jotka liikennettä välittäessään tahattomasti tekevät tyhjäksi nimipalvelinten päivittämisellä saavutetun turvatason.

Rikki mikä rikki.

Suomessa ruususen unta

Pari viikkoa tilannetta tarkkailtuamme päätimme julkaista varoituksen. Vuoden ensimmäisen sellaisen. Mielestämme suuren yleisön ja ennen kaikkea laajan yhteisötilaajien joukon oli syytä havahtua ongelmaan. Hyväksikäyttömenetelmäkin vuosi jo julkisuuteen. Jos viranomaisvaroitus keskellä kesää ei ylitä uutiskynnystä, ei sitten mikään. Paitsi ettei ylittänyt!

Yritysten ylläpitäjät palailevat näinä päivinä lomiltaan ja toivon mukaan ryhtyvät ensi töikseen korjaamaan rikkinäisiä nimipalvelimiaan ja palomuurejaan. Internet on kohta hieman aiempaa vähemmän rikki. Hyvä näin.

Pohtiessamme haavoittuvuuden mahdollisia vaikutuksia ja erilaisia suojautumiskeinoja keksimme, että Suomi on yhdessä suhteessa muuta maailmaa paremmassa asemassa. Jo vuonna 2005 sovimme teleyritysten kanssa, että korotamme joitakin internet-yhteisön hyviksi käytännöiksi tunnistamia suojakeinoja viranomaismääräysten asemaan. Yhtä näistä keinoista kutsumme osoitehygieniaksi: väärennetyillä lähdeosoitteilla varustetut paketit pitää suodattaa pois verkon reunalla. Haavoittuvuuden hyväksikäyttö on tämän ansiosta vaikeampaa suomalaissa verkoissa.

Ulkomailla operaattorit ovat jo vuosia sättineet toisiaan huonon osoitehygienian takia. Ja toden totta, hyväksi tunnustettua neuvoa ei viitsitä noudattaa ellei ole pakko. Arvostelu on kiihtynyt ja hyvä niin. Internet kun on siltä osin rikki.

Kirjoittaja on Viestintäviraston tietoturvayksikön johtaja