Kuinka pysyn ajan tasalla: Tietokoneohjelmien tietoturvallisuusaukot


Käyttöjärjestelmissä, palvelin-ohjelmissa ja yleensä kaikissa ohjelmissa esiintyy ohjelmointivirheitä. Ohjelmointivirhe eli ns. bugi syntyy ohjelmoijan virheellisestä tai puutteellisesta suunnittelusta. Bugeja syntyy myös koodaustasolla, jolloin ohjelmoija ei ole ottanut huomioon, tai muistanut kaikkia kielen sääntöjä, rajoituksia tai käyttää epähuomiossa väärin kielen sallimia rakenteita, ja lauseita. Tällaisista ohjelmissa esiintyvistä aukoista johtuen ohjelman toimivuus ei aina ole suunnitellun mukaista. Kyseeseen tulee silloin: mitä tapahtuu kun ohjelma ei käyttäydykään niin kuin sen pitäisi, tai voiko ohjelman käyttäjä päästä tietoihin, jotka ei ole tarkoitettu hänelle.

Tietoturvallisuus on tärkeimpiä aiheita verkottumisen aikakaudella. Tietokoneissa ajettavat ohjelmat sisältävät tietoturvallisuusaukkoja, jotka mahdollistavat tavalla tai toisella tiedon vuotamisen paikkaan, johon sen ei tulisi vuotaa. Osaksi tämän takia ohjelmia päivitetään uudempiin versioihin ja niihin julkaistaan ns. patcheja, joilla voidaan korjata/päivittää ohjelmaa sen koodia/tiedostoja muuttamalla. Usein suurin tietoturvallisuusaukko tai tietovuotouhka on käyttäjä - inhimmillinen, tunteellinen ja tietämätön nysverö.

DARPA (Defense Advanced Research Projects Agency) perusti CERT (Computer Emergency Response Team) Coordination Centerin 1988 vastaamaan tietoturvallisuustarpeista Internetissä[1]. Se ylläpitää ja levittää tietoa ohjelmien tietoturvallisuusaukoista ja päivityksistä. Se tarjoaa myös ohjeita turvallisuusriskien eliminoimiseen, ja niiden tunnistamiseen.

Ohjelmoijien tietyllä tasolla JA myös tavallisten käyttäjien tulisi olla tietoisia tietoturvallisuusaukoista ja niiden seurauksista. Tätä varten tulisi seurata erilaisia tiedotuskanavia, koskien lähinnä omassa ja yleisessä käytössä olevia ohjelmia. Järjestelmän ylläpitäjän (system administrator) tehtävänä on sitten poistaa mahdollisimman hyvin näitä aukkoja erilaisin toimenpitein - mahdollisesti myös tiedottaa käyttäjiä. CERT on keskuspaikka kyseisten tiedotuskanavien verkossa.

CERT:n ftp palvelimelta info.cert.org löytyy aluksi ns. CERT Advisories lista, jossa on kuvauksia ja toimenpideohjeita koskien erilaisia turvallisuusaukkoja. Listan tietoja päivitetään aina uuden tiedon mukaisiksi. Ohjelmia päivitetään, ja niistä ilmestyy uusia paranneltuja versioita. Turvallisuusaukkoja pyritään mahdollisuuksen mukaan paikkaamaan uusilla versioilla, ja patcheilla. CERT:n ftp palvelimelta info.cert.org löytyy myös lista yleisimmin käytössä (tietokoneverkot,UNIX) olevien ohjelmien uusimmista versioista. Jotkut ohjelmien ja tuotteiden valmistajat/myyjät antavat tietoa turvallisuusaukoista liittyen heidän omiin ohjelmiinsa ja tuotteisiinsa. CERT pyrkii keräämään ja ylläpitämään myös näistä koottua listaa - CERT Bulletin:a[2]. Yleisesti monilla ohjelmilla on myös omat kotisivut, postituslista ja jopa uutisryhmät. Tässä joidenkin ohjelmien kotisivuja tai ensisijaisia ftp-paikkoja.

Uusimman ja tuoreimman tiedonlähteen tarjoavat erilaiset postituslistat ja uutisryhmät. Postituslistalle pitää erikseen liittyä, mutta uutisryhmän viestejä voi lukea tavallisesti siihen tarkoitetulla ohjelmalla. Joku postituslista saattaa olla hyvinkin ruuhkainen, kun taas toinen on melkein unohdettu. Tietokoneiden ja ohjelmien turvallisuuteen liittyviä uutisryhmiä:

Yleisesti liityttävien postituslistojen luetteloja pitää yllä: ListServe, NH2, tieteelliset postituslistat , Kuopionyliopisto, Suomalainen postituslistaluettelo, Liszt, Vivian Neou.

Tässä myös muutamia hyviä tietoturvallisuuteen liittyviä linkkejä, joita kannattaa seurata:

Sitten vielä alan liittyvää kirjallisuutta, jota CERT Coordination Center suosittelee:

[1] <http://www.cert.org/cert.faqintro.html#A1>
[2] <http://www.cert.org/cert.faqintro.html>


Päivitetty 5.5.1997
Dan.Forsberg@iki.fi
WWW-homepage