28.09.2006 16:43
Onko ohjelmisto turvallinen?
Ohjelmien ja käyttöjärjestelmien valmistajat eivät ole yleensä kovin hanakoita mainostamaan tuotteistaan löytyviä tietoturva-aukkoja. Usein haavoittuvuuksia vähätellään ja suorastaan piilotellaan, joka on kaksiteräinen miekka. Jos haavoittuvuus julkistetaan, siitä saavat tiedon sekä asialliset käyttäjät, mutta myös rikolliset. Toisaalta, ellei turva-aukkoa julkisteta, voi käydä niin, että sen löytävät ensin haittaohjelmien tehtailijat. Valmistajien lisäksi ohjelmistojen turvallisuutta tarkastelevat onneksi myös tietoturvayhtiöt.
Mikäli haluat tietää, onko käytössä olevassa ohjelmistossa tai käyttöjärjestelmässä kriittisiä haavoittuvuuksia, apuun tulevat tietoturvayhtiöt jotka seuraavat tuotteiden tietoturvatilannetta. Haavoittuvuuden tai tietoturva-aukon määritelmä ei välttämättä ole itsestään selvä, joten eri palvelut saattavat tarjota ohjelmistoille erilaisia tuloksia. Ohjelmiston tai käyttöjärjestelmän turvallisuutta tarkasteltaessa ei pidä kiinnittää huomiota vain löytyneiden ongelmien määrään. Vaikka ohjelmistosta olisi löytynyt satoja turva-aukkoja, se voi kuitenkin olla turvallinen, mikäli haavoittuvuudet on paikattu nopeasti. Huomio kannattaa siis kiinnittää sellaisten haavoittuvuuksien määrään ja laatuun, joita ei ole vielä paikattu. Jotkut sivustot kertovat myös, onko tiedossa haittaohjelmia tai menetelmiä, jotka käyttävät haavoittuvuutta hyväkseen.
Osoitteesta
http://secunia.com löytyvä Secunia on erinomainen
sivusto ohjelmistotuotteiden tietoturvan määrittelyyn. Sivusto luokittelee tietoturvariskit
asteikolla yhdestä viiteen, yhden ollessa pienen riskin kiusa ja vitosen vastaavasti erittäin
kriittinen haavoittuvuus. Secunian etusivulta löytyy tiedot viimeisimmistä turvatiedotteista, joita
voi tarkastella myös tuote- tai valmistajakohtaisesti. Tuotekohtaisessa tarkastelussa kerrotaan
alussa, onko tuotteessa paikkaamattomia haavoittuvuuksia sekä niiden vakavuus. Tuotteiden
kuvauksissa esitellään selkeinä piirasdiagrammeina haavoittuvuuksien paikkausasete, vakavuus, tavat
joilla haavoittuvuuksia voi hyödyntää sekä kohteet joihin se vaikuttaa. Etenkin ensimmäinen
diagrammi,
Solution Status, on tarkastelemisen arvoinen, sillä se paljastaa miten paljon
korjaamattomia turva-aukkoja tuotteessa on.
eEye on toinen
tuotteiden haavoittuvuuksia tarkkaileva nettipalvelu. eEye paljastaa yleisölle pintapuolisia
tietoja siitä, mihin tuotteisiin haavoittuvuudet vaikuttavat ja miten vakavia ne ovat.
Valmistajille annetaan 60 päivää aikaa korjata haavoittuvuus, minkä jälkeen ne luokitellaan
myöhästyneiksi. Kun turva-aukko on paikattu, eEye julkaisee siitä tarkempia tietoja. Sivusto on
mainio tapa tutkia, miten pitkään eri valmistajilla kuluu turvapaikkojen korjauksessa.
Suomenkielisiä varoituksia löytyy Viestintäviraston CERT-FI -ryhmän sivustolta, osoitteesta
http://www.ficora.fi/suomi/tietoturva/cert.htm. Varoitukset julkaistaan myös
dna Internet
-palvelussa.