tiistai 8. huhtikuuta 2008

Ylireagointia tietoturvan haavoittuvuuksista?

It-alan mediat julkaisivat eilen uutisen, jollaisia olemme tottuneet kuulemaan liki päivittäin: ohjelmasta XYZ on löytynyt haavoittuvuus, jonka vuoksi käyttäjien tulisi päivittää uuteen versioon. Jopa Viestintäviraston CERT-FI julkaisi tiedotteen asiasta.

Kyseinen ohjelma oli Winshark, jota käytetään verkkoliikenteen seurantaan ja analysointiin. Sillä voidaan tutkia esimerkiksi ip-pakettien sisältöä ja kaapata tietyn protokollan mukaista liikennettä - vaikkapa sähköpostin salasanoja. It-ammattilaisten ohella Winshark on suosittu hakkerien keskuudessa, sillä se poimii näppärästi kiinnostavat paketit vaikkapa suojaamattoman wlan-tukiaseman liikenteestä.

Entä se "haavoittuvuus"? Kyse oli siitä, että tietyllä tavalla väärin muodostetut ip-paketit voivat kaataa ohjelman. Wau.

Ennen ohjelman kaatumiseen johtavia tilanteita kutsuttiin bugeiksi. Nyt niistä on tullut haavoittuvuuksia, joista pitää tiedottaa. Se, että joku manipuloi keinotekoisesti ip-paketteja ja kaataa niillä mahdollisesti verkkoa salakuuntelevan hakkerin ohjelman, ei kuulosta kovin vaaralliselta. Tuskin edes tiedottamisen arvoiselta.

Tietoturvavaroituksista on tullut päivittäistä liturgiaa, jotka uutisoidaan tavan vuoksi. Haavoittuvuuksien metsästäminen ja niistä raportointi on eräänlaista urheilua, jolla on vain vähän tekemistä tietoturvan kanssa. Lisäksi jatkuvat varoitukset luovat pelon ilmapiiriä, johon turtuneina käyttäjät eivät jaksa enää reagoida aidosti tärkeisiin uutisiin. Media on niin tottunut tietoturvan huonoihin uutisiin, ettei se muista aina olla kriittinen, eikä varsinkaan muista kertoa tietoturvan hyvistä uutisista. Niitäkin nimittäin on.

Alkuperäinen tiedote tästä "haavoittuvuudesta" löytyy ohjelman omalta kotisivulta.

Ei kommentteja: