Tietoturvaraportti: Microsoft on tietoturvariski

Selkeää... sen lauluja laulat kenen leipää syöt.. Ei liene vaikeaa kaivaa tuon 'yhdistyksen' omistuspohjaa...

"CCIA's mission is to further our members' business interests by being the leading industry advocate in promoting open, barrier-free competition in the offering of computer and communications products and services worldwide."

Ja millä sen ajattelit estää? Tämä on toisaalta verrattavissa ideaan siitä, että Berkeleyn nykyisen johdon mukaan yliopiston olisi pitänyt aikoinaan myydä kehitystuotoksiaan kovalla rahalla -- ikään kuin internet toimisi nykymuodossaan, jos se olisi suljettu ja tiukasti valvottu verkko. Toisaalta se osoittaa vielä enemmän naivistisen naurettavan kuvitelman siitä, että ihmisten elinolot paranevat, kun ihmiset voidaan jakaa omiin ghettoihinsa ja heidän toimintamahdollisuuksiaan säädellä ennalta taipumustensa mukaan. Valikointi ilmeisesti tapahtuisi tekemällä jonkinlaisia testejä ennen kuin päästettäisiin henkilö verkkoon, ja oletettaisiin, että nämä samat rikolliset ainekset olisivat riittävän lainkuuliaisia tai typeriä, etteivät yrittäisi tai eivät keksisi keinoja kiertää testejä. Ehkä testeinä voitaisiin käyttää vaikka kallonmuodostuksen mittailuja?

Iltapäivälehdet ja kansansuosion edessä nuoleskelevat ministerit on siis tullut hyvin seurattua. Hyvä hyvä. Ja onhan se mukava tietää, että jonkin aurinkokunnan planeetalla on kuultu kummin kaiman serkun naapurin kertovan juorua siitä, että ihmiset oli saatu kuriin ja järjestykseen langettamalla riittävän kovia sakko- ja vahingonkorvausrangaistuksia, tai ainakin siltä kovasti tuntui. Sitä, _missä_ näin on tapahtunut, on tietysti aivan tarpeetonta mainita, jotta voitaisiin selvittää, liittyvätkö muutokset (jos sellaisia todella on) rangaistuksiin vai johonkin muuhun. Vertaus muiden rikollisten jahtaamiseen ja siihen liittyvään keskusteluun ei todellakaan välttämättä onnu pahasti.

Käytännössä sellaisten kräkkerien, jotka kaipaavat lähinnä näkyvyyttä, toiminta vaikuttaa sen saman tietoturvan kehittymiseen, jolla estetään myös näkymättömämmin toimivat, ammattimaisemmin taloudellisissa tai ideologisissa hyötymistarkoituksissa toimivat heppulit (jotka voivat yhtä hyvin olla jonkin yrityksen yritysvakoilijoiksi palkkaamia kuin varkaita). Rautalangasta: koska sitä, että joku skidi defaceaa WWW-palvelimesi, ei voi olla huomaamatta, järjestelmätoimittajat ja ylläpitäjät pyrkivät kehittämään järjestelmää siten turvalliseksi, että luottokorttitietoihinkaan ja erilaisiin ohjausjärjestelmiin ei ainakaan pitäisi päästä yhtä helposti käsiksi. Se, että tällä hetkellä useampia ihmisiä ja yrityksiä koskettaa lähinnä järjestelmiä turmelemaan tai kuormittamaan pyrkivien ihmisten muodostama uhka kuin spesifimpejä tietoja varastamaan ja hyväksikäyttämään pyrkivät yksilöt, on kuitenkin parempi tilanne verrattuna vaihtoehtoon.

Ja "tietoturvaongelmiinhan" kuuluvat myös sellaiset tapaukset, joissa esimerkiksi yrityksen sisällä joku tarkoituksella tai huolimattomuuttaan vahingoittaa jotain tärkeää järjestelmää tai vuotaa tietoja ulkopuolisille. Joidenkin Tutkimustenkin (Sektori uutisoi hiljattain yhdestä) yhtä lailla kuin monien tietoturvasta työkseen vastaavien mielestä nämä riskit ovat huomattavasti suurempia kuin jokin verkkoa kuormittava virus, joka yleensä aiheuttaa lähinnä korjattavissa olevaa tai muuten vähäisempää vahinkoa.

Ja yritetäänkö tällä puolustella sitä, että lähestulkoon kaikissa ohjelmissa on tietoturva-aukkoja? Tietoturva-aukko on aina bugi, ja se voi ilmetä sellaisenakin ongelmana, joka ei ainakaan selkeästi kuulu "tietoturvan" piiriin. Kyllähän nyt oven on toimittava niin etteivät lapset ja kotieläimetkään pääse karkaamaan, vaikka kaikki "rikolliset ainekset" saataisiinkin karsittua ihmiskunnasta esimerkiksi tappamalla koko aikuisväestö, ja lääkeaineiden sivuvaikutukset ja riippuvuuden syntyminen on tutkittava, vaikkei niitä kukaan tarkoituksellisesti "huumausaineina" käyttäisikään, missä sekin raja sitten kulloinkin kulkeekaan.

Pikemminkin löytyy tilaisuuksia ja syitä siihen. "Kriminaali ihmistyyppi" on 1800-luvulla kehiteltyä elitististä hölynpölyä, jota sitten nykyään myydään iltapäivälehdistössä ja päivänpolitiikassa ihmisille, koska se myy hyvin -- lue: tuo mukavaa turvallisuudentunnetta massoille, jotka eivät ajattele nenäänsä pidemmälle. Rikoskierteet ja ympäröiviin oloihin liittyvät tilastolliset todennäköisyydet ovat tietenkin täyttä totta, mutta melko moni sen kanssa eri rooleissa työskennellyt on sitä mieltä, että yksinkertaisia ja yhteiskunnan kokonaisuuden kannalta hyödyllisiä ratkaisuja on hyvin vähän, ja että ihmisten lokeroiminen, leimaaminen ja rankaiseminen yksinään varmasti vähiten tepsivimpiä sellaisia. Ja jos tämä pragmatismi unohdetaan hetkeksi, niin onhan asiassa se humaanikin puolensa: ihmisten rääkkäämisen ja julmuuden suurimman kritiikin ei pitäisi olla lähtöisin utilitaristisesta kalkuloinnista, vaan inhimillisestä moraalistamme (en sano, etteikö sillä olisi yhteyksiä käytäntöön ja elämämme muotoihin, vaan että argumentit käytännössä kuulostavat kovin erilaisilta silloin, kun laskeskellaan ihmisten tuottamia kustannuksia kuin silloin, kun vedotaan yhteiseen ihmisyyteemme).

Tähän ei voi sanoa kuin että HALOOOOO??. Miten voidaan edes ajatella että verrattaisiin yhden valmistajan ja x (määrää en osaa sanoa kuitenkin tuhansia-satoja tuhansia) valmistajan joilla on samantyyppinen levityslisenssi bugien määriä toisiinsa. Aivan järjetön artikkeli ja tutkimus.

Tämä on totta mutta et sitten vaivautunut kertomaan että avoinmessa lähdekoodissa korjaukset tulevat _nopeammin_ kuin suljetuissa systeemeissä. Tästä hyvänä esimerkkinä on viimeviikkoiset windowsin reijät mm rpc-protokollassa.

Faktaa tämäkin. sitä ei käy kiistäminen mutta kuten uutisessakin mainittiin, jos viimeisimmät päivitykset yms korjaukset olisi asennettu, tämä luku olisi paljon pienempi. Siltikin pitäisi pyrkiä 0-toleranssiin näiden hyökkäysten osalta mutta se tuskin on koskaan mahdollista.

Selittääkö asiaa osaltaan se, että avoimen lähdekoodin
ohjelmista on tietoturva-aukkojen etsiminen huomattavasti
helpompaa kuin suljetun lähdekoodin ohjelmista?

Tämä heikentää selvästi kyllä heikentää avoimeen lähdekoodiin
perustavan ohjelmiston tietoturvaa, mutta osaltaan myös
parantaa samalla sitä, sillä löydetyt tietoturva-aukot ovat
lyhytikäisempiä kuin suljetun lähdekoodin ohjelmistoissa.

Vähän kummastuttaa vertailu kaikkien avoimeen lähdekoodiin perustuvien softien tietuturvareikien määrää yhden ainoan ohjelmistotuottajan ohjelmiin (Microsoft). Vähän kuin vertaisi kaikkien ohjelmistotuotannon alalla olevien firmojen, paitsi yhden, tuotteiden tietoturvareikien määrää keskenään.
Avoimeen lähdekoodiin perustuvia ohjelmistoja on kuitenkin määrältään ainakin yhtä monta kuin kaupallista tuotetta, ja varmasti enemmänkin.

Microsoftin tuotteita kuitenkin vertailussa oli todennäköisimmin vain kaksi eri versioineen...

Harmi, että ap. tutkimusraportti on maksullinen. Biref-teksteistä lukiessani ei voi todeta muuta kuin, että "hämärältä" vaikuttaa koko raportti. Samoin pikainen Google:ttaminen koko mi2g firman ympäriltä ei ainakaan rohkaissut uskomaan kyseisen yrityksen "raportteja"...

Ei, tämä ei ole epätoivoinen puolustus, vaan puhtaasti faktojen etsimistä.
Lisää tutkimustuloksia, kiitos.

Sinänsä vain huvittavaa, että kun yritin avata tuon linkin niin sain vastaukseksi:
Microsoft VBScript runtime error '800a000d'

Type mismatch: 'Clng'

/uutta/uutinen.asp, line 86

Tämän puitteilta on vertailun todenmukaisuus jo saatettu kyseenalaiseen valoon toisten taholta.

Tälle saattaa olla muitakin syitä kuin on jo tuotu esille. Esimerkiksi se että kaikkialla siellä minne joku erityisesti pyrkii hakkeroimaan (esim. valtioiden tärkeimmät palvelimet yms. isojen yritysten palvelimet) on Unix pohjainen käyttöjärjestelmä.

Lasketaanpa uusiksi: Kaikki Windows-softat jotka palvelimiin liittyvät tai ovat jotenkin kiinni Internetiin ja ihmetelläänpä tulosta sitten. Sitten on reilu vertailu.

Erittäinen mielenkiintoinen tutkimus! CERT listojen mukaan vuonna 2003 on raportoitu 10 vaavoittuvuutta Windowsiin ja 5 linuxiin vaikuttavaa (omassa tapauksessani vain 2). Uutinen taas tehtiin periaatteella 7 windowsiin (lokakuu 29.) ja 16 EI windows softaan, jota sitten OOS softaksi kutsuttiin (esim. Oracle).

Jos olisit lukenut tutkimuksen niin tietäisit, että syy linux-palvelimien hakkeroinnin kasvuun on linux-palvelimen suosion kasvu. Ja toisaalta myös linux hakkerointi työkalujen kasvu...

Ps. Pitäisi kai puhua krakkeroinnista, mutta artikkelissa käytettiin termiä hakkerointi. (ehkäpä kyseessä oli tietoturvatestaus ;)

CCIA:n asiantuntijoiden? Hehän koostuvat Microsoftin kilpailijoista.

Aika yleinen käytäntö ettei yhteistyö kumppaneita hirveästi parjata julkisuudessa. Täysin oikeutettu teko minusta.

Jaa minusta päinvastoin, selvästi jotain hampaankolossa Microsoftia vastaan miehellä. Olisi edes eronnut ensin ja sitten ruvennut kertomaan syitä tuohon. Olisiko ollut tuo irtisanominen päätetty jo aikaisemmin.

Mutta verkon konfiguroinnista, tietoturva-aukosta, ohjelmasta, käyttäjärjestelmästä ja niiden asetuksista riippuen sen yhden aukon avulla voi saada tai olla saamatta riittävästi oikeuksia.

Massahäkkeröinnit harvemmin yrittävätkään käyttää koneesta mitään erityisoikeuksia verkkoon; lähinnä lähiverkko on niille lähin TCP/IP-verkko, johon yrittää levitä. Joissain tilanteissa voidaan tietysti esim. sniffailla vallatusta koneesta salasanoja, mutta yleisempiä taitavat olla esim. muokatut ssh-clientit kuin mitkään lähiverkkoa suoraan hyväksikäyttävät tekniikat. Vasta selvästi järjestelmällisemmällä ja tarkoitushakuisemmalla asteella käytetään taktiikkaa, jossa ensin etsitään kohdeverkosta yksi haavoittuvaisempi kone, josta sitten päästään seuraavaan nodeen. Tämä ei oikein sovi skriptaustyyliseen valtailuun, koska mitään yleispätevää keinoa (siis sellaista, joka olisi olennaisesti yleispätevämpi, tehokkaampi ja nopeampi kuin vain lähteä siitä, että pyritään leviämään yhteen rajattuun spesifiin järjestelmään välittämättä variaatioista) tähän ei välttämättä ole.

Noni nyt kirjoittaja on saanut fudut ja raportti ei enää pidä paikkaansa,

"Lontoolainen tietoturvayhtiö Defcom Information Security Ltd:n finanssiyritysten it-hallinnon esimiehille tekemän kyselyn mukaan suurimmat tietoturvariskit piilevät yritysten omien seinien sisällä ja usein myös yhtiön omassa it-yksikössä.
Peräti 67 prosenttia haastatelluista atk-päälliköistä katsoi, että it-osastolla on puutteelliset taidot hallita nykymaailman yhä laajenevaa haavoittavuuksien ja tietoturvariskien kirjoa. Kaksi kolmesta johtajasta katsoi, että yhtiön oma henkilöstö on suurin tietoturvariski.
70 prosenttia vastanneista katsoi, että esimerkiksi vieraiden fyysinen pääsy yhtiön tiloihin ja tiekoneiden läheisyyteen on jo itsessään haavoittuvuuden aiheuttaja siinä missä esimerkiksi tietokonevirukset tai palomuurin murtaminen ulkoapäin.
It-yksiköiden johtajat katsovat lähes yksimielisesti (90%), että yhtiön talousosasto tai -johto ei ymmärrä riittävästi tietoturva-asiaa vaan he mieluiten raportoisivatkin tietoturvasta riskienhallintaosaston johdolle, joka voi viedä asiaa eteenpäin, esimerkiksi yhtiön hallitukseen."