26.01.2007 16:11

Ohjelmistojen kuukauden bugit

Sellaista suurta ohjelmistoa ei ole tehtykään, jossa ei olisi yhtään ohjelmointivirhettä, eli bugia. Jotkut näistä virheistä haittaavat ohjelman tai käyttöjärjestelmän toimintaa, jotkut ovat haavoittuvuuksia, jotka mahdollistavat järjestelmään tunkeutumisen tavalla tai toisella. Viimeisen vuoden aikana on järjestetty tempauksia, joissa esitellään kuukauden ajan joka päivä yksi ohjelmiston tai käyttöjärjestelmän bugi.

Nykyiset käyttöjärjestelmät ja useimmat ohjelmistot ovat konepellin alla erittäin monimutkaisia. Niiden tapauksessa pätee se totuus, että mitä enemmän liikkuvia osia järjestelmässä on, sitä varmemmin jossain kohdassa on vikaa. Vuoden 2006 aikana järjestettiin kaksi tempausta, joista ensimmäisessä kuvattiin nettiselaimissa olevia bugeja, toisessa käyttöjärjestelmiä koskevia niin kutsuttuja kernel-bugeja.

Kernel tarkoittaa suomeksi jyvää, sydäntä tai ydintä. Tietotekniikassa sillä tarkoitetaan käyttöjärjestelmän, kuten Windowsin tai Linuxin, alimman tason rakennetta. Kernelin tehtäviin kuuluu mm. muistin, suorittimen ja syöttölaitteiden hallinnasta ja kommunikoinnista huolehtiminen. Sitä voi verrata käyttöjärjestelmän luurankoon, johon kaikki muut osat tukeutuvat. Kuten arvata saattaa, kernelistä löytyvät haavoittuvuudet ovat usein vakava turvariski.

Nettiselain on tavallisen kotikäyttäjän yleisin kosketuspinta internetiin. Selainten tietoturvan tulisikin olla erittäin hyvässä kunnossa, sillä kotikäyttäjän ei voi olettaa olevan tietoturvaekspertti. Tietoturva-asiantuntija H.D. Moore käynnisti nettiselainten bugeja ja virittelyä käsittelevän Browser Fun -blogin viime heinäkuussaMonth of Browser Bugs -tempauksella, jossa esiteltiin joka päivä yksi Internet Explorerin, Apple Safarin, Mozillan, Operan tai Konqueror-selaimen haavoittuvuus. Bugista julkaistiin tarkka kuvaus sekä yleensä myös esimerkki, miten sitä voi hyödyntää.

Huomio! Blogista löytyviä esimerkkilinkkejä ei kannata klikkailla hetken mielijohteesta, sillä ne saattavat kaataa nettiselaimen.

Marraskuussa bugitalkoisiin ryhdyttiin käyttöjärjestelmien kohdalla. The Month of Kernel Bugs esitteli mm. Windows-, Linux-, Mac OS X- ja Unix-käyttöjärjestelmistä löytyneitä haavoittuvuuksia samalla tavoin, kuin selainten bugeja edellä kuvatussa projektissa. Tarjolla oli jälleen sekä bugin kuvaus että esimerkki siitä, miten sitä voi hyödyntää.

Tällä hetkellä käynnissä on bugikuukausi, jonka kohteena ovat Applen tuotteet: Mac OS X -käyttöjärjestelmä, Applen valmistamat sovellukset sekä myös muiden valmistajien käsialaa olevat suositut Apple-ohjelmistot. Month of Apple Bugs -tempauksen etenemistä voi seurata osoitteessa projects.info-pull.com/moab.

Pikaisesti ajateltuna tyhmin mahdollinen tapa reagoida uusiin bugeihin ja haavoittuvuuksiin on julkaista ne. Eivätkö ne tällöin päädy myös nettirikollisten käsiin, jotka voivat hyödyntää niitä ihmisten tietokoneille tunkeutumiseen? Tästä asiasta käydään verkossa kädenvääntöä, sillä monet ovat juuri tätä mieltä. Toisaalta haavoittuvuuksien ja virheiden julkaisua puolustetaan sillä, että on paljon pahempi asia, jos nettirikolliset löytävät ne ennen tietoturvaharrastajia tai alan yrityksiä, tai jos haavoittuvuudet lakaistaan maton alle. Tätä voi verrata tilanteeseen, jossa murtovarkaat ovat keksineet tavan tiirikoida suosittu lukkomalli, mutta lukkojen valmistaja ei kerro tästä kuluttajille, poliiseille tai lukkosepille.

Kun haavoittuvuus on julkisessa tiedossa, turvaohjelmistojen valmistajat osaavat ottaa sen huomioon ja virittää ohjelmistonsa torjumaan kyseistä haavoittuvuutta käyttäviä haittaohjelmia. Tämän lisäksi haavoittuvuudesta kärsivän ohjelmiston valmistajalla on suurempi paine korjata vika nopeasti kuin tilanteissa, joissa haavoittuvuus olisi ainoastaan firman itsensä tiedossa. Ajoittain myös harrastajat onnistuvat luomaan haavoittuvuuden korjauksen tai ainakin väliaikaisen paikan ennen ohjelmiston valmistajan julkaisemaa virallista korjausta. Haavoittuvuuksien levittäminen harrastajien, tietoturvafirmojen ja suuren yleisön tietoisuuteen on siis monilla tavoin hyödyllinen temppu.