Esimakua kyberpandemiasta

Turvallisuusalalla on pitkään spekuloitu kyberpandemian mahdollisuudella. Heräämmekö jonain päivänä maailmaan, jossa tietomurrot tai haittaohjelmat riivaavat kaikkia järjestelmiä saaden yhteiskunnan ja kansalaisten arjen sekaisin?

Tänä viikonloppuna on saatu esimakua kyberpandemiasta. Syynä on Log4j-niminen Java-komponentti, jota käytetään monissa nettipalveluissa. Ohjelmassa on ominaisuus, joka mahdollistaa yksinkertaisen hyökkäyksen: välittämällä palveluun yksinkertainen merkkijono palvelin saadaan hakemaan mistä tahansa nettiosoitteesta koodia, joka suoritetaan saman tien. 

Haavoittuvuuksia on ollut aina, mutta Log4j on omaa luokkaansa. Sitä ei ole turhaan sanottu vuosisadan pahimmaksi tietoturva-aukoksi. Kyseessä ei ole varsinainen bugi, vaan pikemminkin suunnitteluvirhe, jota kukaan ei ole tiettävästi aiemmin huomannut käyttää hyödyksi.

Aiempi OpenSSL-haavoittuvuus, suomalaisten löytämä Heartbleed (2014), vaikutti laajalle ja havahdutti huomaamaan avoimen lähdekoodin ongelmat. Sen hyödyntäminen oli kuitenkin hankalaa ja vaati teknistä osaamista. Log4j on aivan toista maata: riittää, että vaihtaa selaimen tai puhelimen merkkijonoksi ${jndi:ldap://url-osoite-tähän/a} ja kertoo, mistä osoitteesta hyökkäyskoodi haetaan. Lapsikin sen osaa. Jopa tämä blogiteksti saattaa laukaista koodin hakuyrityksen, joskin url-osoite-tähän on osoitteena vaaraton.

Hieman vastaavia ongelmia on ollut aiemminkin iPhone-puhelimissa. Kesällä uutisoitiin, miten iPhonen verkkoasetukset hajoavat, jos puhelimella liittyy %p%s%s%s%s%n -nimiseen wifi-verkkoon. Edes puhelimen uudelleenkäynnistys ei auta. Aiemmin puhelimen on voinut sammuttaa lisäämällä tekstiviestiin tietyn merkkiyhdistelmän.

Nyt Log4j:n vaarallinen ominaisuus on korjattu, mutta korjausten asentaminen kaikkiin haavoittuviin järjestelmiin on jättimäinen työ. Kyse ei ole pelkistä nettipalveluista, vaan Log4j-komponenttia on tavattu myös erilaisista elektroniikkalaitteista. Suurin osa palveluista ei edes tiedä, että jossain koneiston uumenissa on haavoittuva palanen. Se selviää vain kokeilemalla, miten palvelu vastaa hakkerointiyritykseen.

Täsä Githubin listasta saa jonkinlaisen aavistuksen ongelman laajuudesta. 

Nykyiset tietojärjestelmät koostuvat sadoista komponenteista, joista suurin osa on nettiyhteisön kehittämiä tai ylläpitämiä. Niitä pinotaan päällekkäin ja rinnakkain ilman, että kukaan tietää, mitä haavoittuvuuksia pinoon jää. "Avoin lähdekoodi on turvallista, koska kuka tahansa voi nähdä virheet" on vanha mantra, joka ei pidä enää paikkaansa. 

Kaikki käyttävät vapaita ohjelmia -- toisten kirjoittamaa koodia -- eikä kukaan vastaa kokonaisuudesta. Kriittistä koodia saattaa ylläpitää joku yksittäinen henkilö oman työnsä ohella, tai sitten sitä ei ylläpidä enää kukaan. Log4j:n ylläpidosta huolehtii tiettävästi kolme tai neljä henkilöä, ja hekin vain vapaa-ajan projektina. Silti miljoonat ihmiset ja laitteet käyttävät heidän ilmaistyötään.

Tapahtuma herättää kysymään, millaisia pommeja nettipalveluissa piilee? Kuka löytää ne ensimmäisenä - rosvot, tiedustelupalvelut vai valkohattuhakkerit? Tämä viikonloppu ainakin on IT-ylläpidon painajainen. Luultavasti ensi viikolla tulemme näkemään monia tietomurtoja ja vahingontekoja. Joululomat on peruttu muiltakin kuin teho-osaston hoitajilta.

On ollut kiinnostavaa seurata Suomen uutisointia asiasta. Maailmalla Log4j on iso uutinen, "internet is on fire!". Suomessa sen ovat noteeranneet Ilta-Sanomat, Iltalehti ja Helsingin Sanomat. Yle ei vielä tähän mennessä ole reagoinut. It-maailmaa ymmärtäviä toimittajia on vähän, eikä heitä ole viikonloppuisin vuorossa. Tivi-lehti kirjoitti asiasta jo perjantaina, jolloin vakavuudesta ei ollut vielä täyttä selvyyttä. Tilanteen vaarallisuus on paljastunut vasta viikonlopun kuluessa. 

Voi vain toivoa, että jos kyberpandemia joskus iskee, se ei ala ainakaan viikonloppuna.

Lisäys 14.12.2021: Vaaralliseksi osoittautunut ominaisuus lisättiin Apache Log4j-komponenttiin versiossa 2.0-beta9, joka julkaistiin 21.9.2013. Vaara huomattiin yli kahdeksan vuotta myöhemmin ja varoitus julkaistiin 9.12.2021. Siinä välissä kukaan ei huomannut asiaa tai ei ainakaan raportoinut siitä vaan käytti aukkoa itse tietomurtoihin. Mitähän muita pommeja järjestelmissä tikittää? 

JNDI injection -riskistä oli esitelmä Black Hat 2016 -konferenssissa, mutta puhujat eivät itsekään osanneet yhdistää uhkaa Apache Strutsiin. 

Nyt huolestuttavin skenaario on, että joku kirjoittaa haavoittuvuutta hyödyntävän madon. Se voisi levitä palvelimesta toiseen ja halvaannuttaa ison osan internetiä.

Android on pahuksen hyvä

Viime vuoden lopussa mobiilimarkkinoilla tapahtui jotain hyvin merkittävää: Android-käyttöjärjestelmällä varustettujen puhelinten myynti ylitti ensi kertaa Symbian-järjestelmän myynnin. Symbian -- nykyään käytännössä Nokia -- oli pitänyt paalupaikkaa kymmenen vuoden ajan.

Meille suomalaisille Nokian putoaminen ykkössijalta kakkoseksi on iso asia. Millään toisella yrityksellä ei ole kotimaassa niin suurta taloudellista ja symbolista merkitystä kuin Nokialla on Suomessa. Nokian menestys tietää menestystä koko Suomelle, ja tietenkin myös päinvastoin.

Googlen kehittämä Android nousi suosituimmaksi mobiilialustaksi nopeasti ja lähes varkain. Mediassa päähuomion on varastanut Applen iPhone. Se kuvaa hyvin Applen ällistyttävää mediahallintaa ja Steve Jobsin todellisuutta vääristävää voimakenttää. Mitä tahansa Apple tekeekin, media jumaloi sitä.

Media ei ole edes huomannut, miten nopeasti iPhone on vanhentunut. Se, mikä neljä vuotta sitten oli uutta ja ällistyttävää, on nyt kömpelöä ja vanhanaikaista. iPhonen staattiset kuvakkeet, kömpelö puhelujen hallinta, muistikorttituen puuttuminen ja monet muut yksityiskohdat kalpenevat vertailussa uusien Android-mallien kanssa. Android on vuoden 2011 iPhone.

Androidin menestys on avointen markkinoiden ansiota. Kun kehittäjille annetaan vapaat kädet, vauhti on huimaa. Applen strategia on tyystin toinen: se haluaa pitää kaiken Jobsin käsissä. Sinänsä hyödyllisiä ominaisuuksia (kuten mp3-tiedoston käyttö soittoäänenä) estetään, jotta ne eivät pilaisi bisnestä.

Suljetun maailman etu on tietoturvassa. Hyväksymällä sovellukset itse Apple pystyy varmistamaan puhelinten turvallisuuden. Androidin avoimmuus voi tulevina vuosina kostautua haittaohjelmina -- aivan kuten kävi pc-maailmassa (tosin ensimmäiset tietokonevirukset tehtiin Mac-koneisiin, mikä kaikilta on jo unohtunut).

Jos iPhone vaikuttaakin vanhalta, Symbian on suorastaan antiikkinen. Uusi Symbian^3 on toivoton yritys tekohengittää jo koomassa olevaa ympäristöä. Uuden toimitusjohtajan tehtäväksi jää Symbianin saattohoito. Aiheesta kuullaan lisää ensi viikolla, kun Nokia julkistaa uuden strategiansa 11.2.2011. Päivästä tulee taatusti mielenkiintoinen ja sillä on kauaskantoisia vaikutuksia koko Suomelle.

Monet toivovat, että Nokia liittyisi Android-valmistajien joukkoon. Se olisi epäilemättä käyttäjien etu, mutta laitevalmistajan kannalta tilanne on ihan toinen. Markkinoilla olevat Android-luurit ovat ulkoisesti erilaisia, mutta sisäisesti lähes identtisiä eivätkä siksi tarjoa valmistajille riittävästi mahdollisuuksia erottua toisistaan. Myös Androidin tiukka kytkeytyminen Googlen palveluihin on ongelmallista. Aiheesta on puhuttu vielä kovin vähän, vaikka kyseessä on mitä ilmeisin tietosuojariski.

Kiinalainen halpa-Android palvelee käyttäjää yhtä hyvin kuin eurooppalainen merkki-Android. Miksi siis maksaa moninkertainen hinta? Androidin myötä mobiilimaailmassa toteutuu pc:stä tuttu kehitys. Kun Microsoft käytännössä standardoi ensin Dosilla ja myöhemmin Windowsilla pc-markkinat, tietokoneiden hinta romahti ja valmistajat joutuivat armottomaan hintakilpailuun. Vain muutama valmistaja jäi jäljelle, nekin toimivat nollakatteilla. Androidin valinta voisi olla käyttäjien voitto, mutta Nokian tappio.

Nokian toinen vaihtoehto on liittoutuminen Microsoftin kanssa. Sen Windows Phone 7 -järjestelmä julkistettiin viime lokakuussa ja muutama valmistaja onkin jo tuonut markkinoille uusia Windows-puhelimia.

Microsoft ei ole säästellyt aikaa eikä rahaa yrittäessään valloittaa asemia mobiilimarkkinoilla. Tulokset ovat kuitenkin jääneet laihoiksi, mikä on jossain määrin yllättävää. Microsoftilla on osaamista ja valtava rahamäärä käytettävissään, mutta mikään ei näytä auttavan. iPhone on saanut julkisuuden, Google avoimet kehittäjät ja Symbian markkinaosuuden. Microsofitlle on jäänyt ikuisen mobiilimokaajan maine.

Microsoftille liittoutuminen Nokian kanssa olisi epäilemättä tervetullut vaihtoehto. Me suomalaiset emme välttämättä näe asiaa samoin. Nokian tarrautuminen mobiilialan krooniseen epäonnistujaan voi koitua kohtalokkaaksi molemmille.

Suo siellä, vetelä täällä. Tuoreella toimitusjohtajalla on käsissään päätös, joka tulee jäämään suomalaiseen teollisuushistoriaan aivan kuten Soneran ilmakaupat Saksasta. Nyt panoksissa vain on nolla tai kaksi lisää.

Me käyttäjät -- ei, suomalaiset -- voimme vain pitää peukkuja viisaiden päätösten puolesta.

iPhone 4 ja Android (HTC) rinnakkain. Näytöt ovat fyysisesti lähes samankokoisia, mutta koska iPhonen tarkkuus on paljon suurempi, sen kuvaa on pienennetty.

Linux vai Windows - pilvi ei piittaa

Pitäisikö kotikoneessa olla Windows vai Linux? Pitäisikö tekstinkäsittelyä varten hankkia maksullinen Office vai ilmainen, avoimen lähdekoodin OpenOffice?

Kiitos pilviajattelun, kummallakaan kysymyksellä ei ole jatkossa merkitystä. Käyttöjärjestelmän merkitys laskee koko ajan, sillä tietojenkäsittely muuttuu ohjelmien käyttämisestä palvelujen käyttämiseksi. Käyttöjärjestelmää tarvitaan vain koneen käynnistämiseen, paikallisten tiedostojen hallintaan ja oheislaitteiden ohjaamiseen.

Tekstinkäsittelyä varten ei tarvitse ostaa Microsoftin Wordiä eikä ladata edes ilmaista OpenOfficea. Pilvipalvelut kuten Google Docs ja Microsoftin Live Office tarjoavat kaikki peruskäyttäjän tarvitsemat toiminnot. Ja mikä parasta: ohjelmia ei tarvitse asentaa eikä päivittää, koska ne latautuvat suoraan selaimeen. Tiedostot ja sovellukset ovat käytettävissä kaikkialla, missä vain on nettiyhteys. Edes omaa konetta ei tarvita, sillä tiedostoihin pääsee nettikahvilasta, työpaikalta ja koulusta.

Jatkossa tietokoneen sijaan riittää älypuhelin tai sormitietokone. Tietojenkäsittely irtaantuu lopullisesti pc-maailmasta. Samalla pääsemme eroon monista tietoturva- ja ylläpito-ongelmilta.

Tämä kaikki on hienoa, tervetullutta kehitystä. Voimme unohtaa väittelyt käyttöjärjestelmien ja sovellusten paremmuudesta sekä avoimen lähdekoodin eduista. Vain omat työt ja dokumentit ovat tärkeitä.

Pilvipalvelut ovat mainioita myös siksi, että jatkossa julkishallinto voi tuottaa dokumentteja ja sähköisiä palveluita pelkäämättä niiden aiheuttavan kansalaisille it-ongelmia. Samat tiedostomuodot on tuettuna kaikkialla, eikä ohjelmien ostaminen tai edes lataaminen ole enää edellytys tietoyhteiskuntaan pääsemiseksi.

Toki pilvipalveluissa on omat, sekä tietoturvaan että tietosuojaan liittyvät ongelmansa. Tekniikka on vielä niin uutta, että voimme vain arvailla mitkä niistä tulevat aiheuttamaan todellista haittaa.

Joka tapauksessa meneillään oleva muutos on tervetullutta ja tarpeellista. Pc-maailma on säilynyt lähes muuttumattomana 30 vuoden ajan. On jo korkea aika siirtyä kehityksessä eteenpäin.