27.03.2009 16:43

Onko ohjelmisto turvallinen?

Ohjelmien ja käyttöjärjestelmien valmistajat eivät ole yleensä kovin hanakoita mainostamaan tuotteistaan löytyviä tietoturva-aukkoja. Usein haavoittuvuuksia vähätellään ja suorastaan piilotellaan, mikä on ikävällä tavalla kaksiteräinen miekka. Jos haavoittuvuus julkistetaan, siitä saavat tiedon sekä asialliset käyttäjät, mutta myös rikolliset. Toisaalta, ellei turva-aukkoa julkisteta, voi käydä niin, että sen löytävät ensin haittaohjelmien tehtailijat. Valmistajien lisäksi ohjelmistojen turvallisuutta tarkastelevat onneksi myös tietoturvayhtiöt.

Mikäli haluat tietää, onko käytössä olevassa ohjelmistossa tai käyttöjärjestelmässä kriittisiä haavoittuvuuksia, apuun tulevat tietoturvayhtiöt jotka seuraavat tuotteiden tietoturvatilannetta. Haavoittuvuuden tai tietoturva-aukon määritelmä ei välttämättä ole itsestään selvä, joten eri palvelut saattavat tarjota ohjelmistoille erilaisia tuloksia. Ohjelmiston tai käyttöjärjestelmän turvallisuutta tarkasteltaessa ei pidä kiinnittää huomiota vain löytyneiden ongelmien määrään. Vaikka ohjelmistosta olisi löytynyt satoja turva-aukkoja, se voi kuitenkin olla turvallinen, mikäli haavoittuvuudet on paikattu nopeasti tai jos tietokoneen tietoturva on kunnossa.

Huomio kannattaa siis kiinnittää sellaisten haavoittuvuuksien määrään ja laatuun, joita ei ole vielä paikattu. Jotkut sivustot kertovat myös, onko tiedossa haittaohjelmia tai menetelmiä, jotka käyttävät haavoittuvuutta hyväkseen.

Osoitteesta http://secunia.com löytyvä Secunia on erinomainen sivusto ohjelmistotuotteiden tietoturvan määrittelyyn. Sivusto luokittelee tietoturvariskit asteikolla yhdestä viiteen, yhden ollessa pienen riskin kiusa ja vitosen vastaavasti erittäin kriittinen haavoittuvuus. Secunian etusivulta löytyy tiedot viimeisimmistä turvatiedotteista, joita voi tarkastella myös tuote- tai valmistajakohtaisesti. Tuotekohtaisessa tarkastelussa kerrotaan alussa, onko tuotteessa paikkaamattomia haavoittuvuuksia sekä niiden vakavuus. Tuotteiden kuvauksissa esitellään selkeinä piirasdiagrammeina haavoittuvuuksien paikkausasete, vakavuus, tavat joilla haavoittuvuuksia voi hyödyntää sekä kohteet joihin se vaikuttaa. Etenkin ensimmäinen diagrammi, Solution Status, on tarkastelemisen arvoinen, sillä se paljastaa miten paljon korjaamattomia turva-aukkoja tuotteessa on.

eEye on toinen tuotteiden haavoittuvuuksia tarkkaileva nettipalvelu. eEye paljastaa yleisölle pintapuolisia tietoja siitä, mihin tuotteisiin haavoittuvuudet vaikuttavat ja miten vakavia ne ovat. Valmistajille annetaan 60 päivää aikaa korjata haavoittuvuus, minkä jälkeen ne luokitellaan myöhästyneiksi. Kun turva-aukko on paikattu, eEye julkaisee siitä tarkempia tietoja. Sivusto on mainio tapa tutkia, miten pitkään eri valmistajilla kuluu turvapaikkojen korjauksessa.

Suomenkielisiä varoituksia löytyy Viestintäviraston CERT-FI -ryhmän sivustolta. Varoitukset julkaistaan automaattisesti sivustomme Tietoturva-osiossa.

Janos Honkonen