sunnuntai 21. toukokuuta 2017

Seuraava Wannacry-epidemia on vain klikkauksen takana

Wannacry-kiristysohjelma osoitti, miten riippuvaisia olemme tietotekniikasta. Onneksi tällä kertaa kyse oli vain rahasta. Seuraavaa hyökkäystä Suomea vastaan ei kuitenkaan ehkä torjuta tankeilla eikä Horneteilla. Siinä mietittävää myös maanpuolustuksesta vastaaville.

Hyökkäystä odotellessa on Wannacry-jälkipyykin aika. Syyttävä sormi osoittaa yrityksiin ja käyttäjiin: korostetaan, että koneet pitäisi päivittää säännöllisesti, jotta haittaohjelmat eivät leviäisi. Vastuu tietoturvallisuudesta on kuitenkin paljon laajempi.

Windows XP ilmestyi syksyllä 2001. Sen tietoturva sai alusta pitäen huonon maineen. Palomuuri oli oletusarvona pois päältä, jolloin koneet saastuivat jo käyttöönoton aikana. Internet oli vielä uutta, eivätkä ohjelmoijat osanneet varautua uhkiin. Seurasi pitkä ketju päivityksiä, joilla XP saatiin jokseenkin kuntoon.

Huhtikuussa 2014 Microsoft lopetti Windows XP:n tukemisen ja edellytti kaikkien päivittävän käyttöjärjestelmät uudempiin. Paljon vanhoja koneita jäi kuitenkin yhä käyttöön, koska ne toimivat sinällään hyvin. Miksi vaihtaa toimivia laitteita?

Päivitysten loppuminen kostautui viime perjantaina, kun erityisesti Windows XP -koneet joutuivat Wannacry-kiristäjän uhreiksi.

Miksei Microsoft havainnut tietoturva-aukkoa 13 vuoden ­aikana ja korjannut sitä? Voiko ohjelmistoyhtiö jättää korjaukset tekemättä vain sillä perusteella, että tuotteen elinkaari on päättynyt? Aukko osoittaa, että 13 vuoden ajan Microsoft myi virheellistä tuotetta.

Microsoft ei löytänyt aukkoa, mutta tiedusteluvirasto NSA löysi ja käytti sitä omiin vakoilu­ohjelmiinsa. Microsoftin aukolla turvattiin Yhdysvaltojen kan­sallisia etuja, kunnes hakkeri­ryhmä vuosi ohjelmat nettiin huhtikuussa ja kuvio asettui ihan uuteen asentoon.

Nyt Microsoftin päälakimies Brad Smith vertaa Wanna­cryptiä varastettuun Tomahawk-ohjukseen. Voi olla, mutta silloin NSA hukkasi piirus­tukset, kyberrikolliset raken­sivat ohjuksen – ja Microsoft ­toimitti siihen räjähteen.

Yritykset ovat puun ja kuoren välissä, kun niiden pitää jatkuvasti asentaa virheitä korjaavia päivityksiä. Kaikkea älytele­visioista puhelimiin pitää päivittää. Varsinkin yritysjärjestelmissä päivitykset saattavat rikkoa muita ohjelmia, joten niistä on tullut melkein kiro­sana.

Tietoturvaongelmat voidaan ratkaista vain, jos valmistajat ­alkavat ottaa nykyistä enemmän vastuuta työstään. Jättikokoisten ohjelmien sijaan pitää tehdä pienempiä ja hallittavampia moduuleita ja tiedonkäsittelyä siirtää enemmän pilveen.

Päivitys on pelkkä särkylääke, joka ei paranna varsinaista tautia. Niin ikään tietoturvan perusteet on koulutettava uutena kansalaistaitona jokaiselle.

Windows XP:tä seurasi Vista-käyttöjärjestelmä, jonka tuki loppui tämän vuoden keväällä. Vastedes siihenkään ei enää ­ilmesty turvapäivityksiä. Mahdolliset virheet saavat jäädä.

Seuraava Wannacry-epidemia odottaa jo laukaisuaan – kyberrosvojen hiiren klikkausta.

Julkaistu Helsingin Sanomissa 17.5.2017

8 kommenttia:

Marko Haaja kirjoitti...

Jos on uskominen Kaspersky Labia (https://twitter.com/craiu/status/865562842149392384/photo/1?ref_src=twsrc%5Etfw), niin saastuneista koneista oli 98% Windows 7 käyttöjärjestelmällä, joihin oli julkisesti paikkaus saatavilla lähes kaksi kuukautta ennen WannaCry tapahtumaa. Windows XP ja vista olivat vain pyöristysvirhe.

Petteri Järvinen kirjoitti...

Ilmeisesti NHS:n ongelmat saivat huomion kohdistumaan liikaa Windows XP:hen. Samoin muistamme Microsoftin omat varoitukset keväältä 2014, kun tuki loppui: pian tulee erityisesti XP:lle suunniteltuja haittaohjelmia, koska rosvot tietävät niiden olevan haavoittuvia, emmekä enää julkaise korjauksia. No, onneksi niin ei käynyt.

Windows seiskaan saa päivityksiä vielä muutaman vuoden ajan, mutta eivät ne sielläkään ole ongelmattomia (kts. Windows-päivitys pilasi Vistasta käyttökelvottoman.

Olavi Koskela kirjoitti...

Siis onko se nyt ihan totta niin, että yleinen tuotevastuu ei koske ohjelmistoja? Jos, kuten blogisti toteaa, että "13 vuoden ajan Microsoft myi virheellistä tuotetta", heillä ei silti ole mitään vastuuta virheestä aiheutuneista kuluista ja kustannukssta? Perseestähän se on vetäytyä sen taakse, että käyttäjän olisi pitänyt itse ymmärtää päivittää järjestelmäversionsa ja vielä ladata ties mitä korjauslaastarilappuja - eli siis tehdä järjestelmän kehittäjälle ja myyjälle kuuluvia tehtäviä. No, käräjille ei Microsoftia tietenkään saa, joten ainoa tapa reagoida on lopettaa kerrasta ja kertakaikkiaan kyseisen paskafirman tuotteiden käyttäminen.

petrip kirjoitti...

Siis onko se nyt ihan totta niin, että yleinen tuotevastuu ei koske ohjelmistoja? Jos, kuten blogisti toteaa, että "13 vuoden ajan Microsoft myi virheellistä tuotetta", heillä ei silti ole mitään vastuuta virheestä aiheutuneista kuluista ja kustannukssta?

Nyt haluasin tietää kuka on tehnyt joskus jonkun virheetömään ohjelman? Mahdoton vaatimus. Vapaan softan puolella oli vähän aikaan sitten potentiaalisesti paljon vaarallisempi bugi OpenSSL:ssä. Näitä on ihan kaikilla.

Tottai virheitä on ja joudutaan korjauksia toimittamaan. Ja tottakai on koneen omistajan vastuulla asentaa ne. Varsinkin kun oletusarvoisesti ne asentuu ihan tekemättä mitään.

Anonyymi kirjoitti...

Onkohan kauko-ohjattu autotallin ovenavaaja joku riski?
Entä sitten, kun auton ohjauspyörää voi periaatteessa käännellä vaikka netin kautta?
Autossa on parkkiavustin ja tietysti puhelinverkkoyhteys. Onneksi autotehtaat tekevät luotettavaa koodia. Ihmettelen koskahan näyttöruutuun ilmestyy moottoritiellä teksti: Auton ohjelmiston päivitys alkaa....

petrip kirjoitti...

Autonjen ohjelmistot eivät ole netissä kiinni. Se monesti esitetty jarrujen etäkontrolli vaati huomattavan määrä työtä ja rahaa. Siinä muun muassa pitää hankkia piiri, joka on autossa (ei kenen tahansa tilattavissa) poistaa kotelo syövyttää ylin maadoitus metallointi ja sitten täppiä osoiteväylää salausavaimen saamiseksi. Ei onnistu "meidän kloppi osaa linuksia ihan hirveen hyvin" häkkereiltä.

Ja lisäksi tuokin on estettävissä, kunhan vaan on varautunut siihen että joku sorkkii piirejä. Ei ei ihan lähitulevaisuuden ongelma. Autoteollisuus on varsin turvallisuustietoinen ja ymmärtää hyvinsen tärkeyden että itse ohjaus ei saa olla kiinni netissä

Anonyymi kirjoitti...

@petrip

Olenkohan sinä nyt ihan varma mistä kirjoitat?

https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
https://www.wired.com/2015/08/hackers-cut-corvettes-brakes-via-common-car-gadget/
http://www.pcworld.com/article/2878437/bmw-cars-found-vulnerable-in-connected-drive-hack.html

Siinä kolme esimerkkiä siitä kuinka turvallisia autovalmistajien tekeleet ovat olleet.

Connected car konsepti on tämän vuosikymmenen puolella yleistynyt melkoisesti. Teslan softa päivittyy verkon kautta itsekseen tämän tästä. Pohjois-Amerikassa on jo noin viisitoista vuotta ollut autoissa OnStar, navigointijätjestelmät ovat koko ajan vekkoyhteydessä karttapalveluiden, tie-ja liikenneiinfopalvelun kanssa, autoissa on yleisesti kaikenlaisia viihdejärjestelmiä jotka ovat yhteydessä keskenään CAN väylän kautta, jossa samassa on ECU:t ym.

Autovalmistajat eivät ole ymmärtäneet hölkäsen pöläystä tietoturvasta ennen kuin heille on osoitettu kädestä pitäen, että he eivät ymmärrä mitä ovat tekemässä ja siitä ei hyvää seuraa. YouTubesta on asiasta videoita vaikka kuinka paljon, alla yksi katsomisenarvoinen.

https://m.youtube.com/watch?v=IO-MrkyHPpI

Niin ja jos nyt joku kuvittelee, ettei eurooppalaisissa ja japanilaisissa ym. muun maalaisista kuin jenkkiautoissa ole samaa ongelmaa, ei ole tainnut ymmärtää, että auton osien alihankintaverkot ovat pitkiä ja globaaleja, josta seuraa että ongelmat ovat globaaleja. CAN väylä, johon OBD lukijakin kiinnittyy on joka puolella käytössä. Uusissa Volvoissa on yhtä lailla auton tilan seuranta etänä kuin jenkkiautoissa. Vielä ehkä voi ostamalla halvimman olla saamatta näitä kaupanpäälle, tai sitten ne on mukana kuitenkin, mutta vain niiden käyttö ostajalta on estetty, kun niistä ei ole maksettu erikseen oston yhteydessä, ei kuitenkaan välttämättä valmistajalta tai huollolta etädiagnosoinnin vuoksi.

Olavi Koskela kirjoitti...

PetriP: "Nyt haluasin tietää kuka on tehnyt joskus jonkun virheetömään ohjelman? Mahdoton vaatimus. " Justiinsa joo. Paskaa pitää saada tehdä ja myydä, kun ei parempaan pysty. Terveisiä vain sinne Microsoftille.

Website Security Test