Mikael Albrecht

Haavoittuvuustieto on haluttu kauppatavara

Kyberrikokset-palstalla käsitellään haavoittuvuustiedon käytön eettisiä haasteita.

Kaikissa ohjelmistoissa on virheitä, "bugeja". Jotkut näistä mahdollistavat turvaominaisuuksien ohittamisen. Ohjelmistojen tekijät metsästävät näitä haavoittuvuuksia sekä sisäisillä laadunvalvontamenetelmillä että maksamalla palkkiota, jos ulkopuolinen tutkija löytää niitä. Tästä johtuvat ne lukuisat päivitykset, joita laitteemme haluavat asentaa. Ohjelmistojen pitäminen päivitettynä onkin yksi tietoturvan kulmakivistä. Mutta haavoittuvuustietoa tarvitsevat myös kyberrikolliset ja -vakoilijat – sekä viranomaiset.

Taitava tietoturvatutkija voi tienata merkittäviä summia etsimällä haavoittuvuuksia. Monella yrityksellä on ns. bug bounty reward -ohjelma, joka voi myöntää rahapalkkion vastikkeeksi haavoittuvuusraportista. Summat voivat vaihdella tuhansista satoihin tuhansiin euroihin haavoittuvuuden vakavuuden ja ohjelmiston yleisyyden perusteella. Microsoft maksaa korkeintaan $250 000 kriittisestä Windows-haavoittuvuudesta ja Applen vastaava maksimipalkkio on $200 000; kotimaisen F-Securen korkein maksuluokka on 15 000€.

Tutkija, joka osallistuu tällaiseen ohjelmaan, on hyväntekijä parantaessaan käyttäjien turvallisuutta. Mutta hänellä on myös muita vaihtoehtoja. Vakoojat ja rikolliset hankkivat usein tietonsa alamaailman suljetuissa keskustelufoorumeissa. Jotkut yritykset harrastavat myös täysin avointa kaupankäyntiä haavoittuvuuksilla. Eräs tunnetuimmista on Zerodium, jonka korkeimmat maksuluokat Microsoftin ja Applen tuotteille ovat $300 000 ja $1 500 000. On selvää, että tällainen yritys ei myy haavoittuvuutta, josta on maksanut puolitoista miljoonaa dollaria, eteenpäin Applelle 200 000 dollarilla. Tutkijalla on siis eettinen ongelma: 200 000 ja tieto siitä, että reikää tukitaan, tai 1 500 000 tietäen että joku tulee käyttämään haavoittuvuutta kyberhyökkäyksessä jossain päin maailmaa.

Mutta onko tutkija sitten rikollinen, jos hän ottaa korkeimman palkkion? Yleensä ei. Haavoittuvuuksien toimivuus voidaan testata omilla järjestelmillä, joten niihin murtautuminen ei täytä tietomurron tunnusmerkkejä. Ja kauppatavara on puhdasta tietoa, joten voidaan vedota sananvapauteen. Tutkija ja välittäjä eivät siis syyllisty tietomurtoon. Ja he eivät tiedä, eivätkä halua tietää, mitä ostaja tekee.

Entä viranomainen, joka kerää ja käyttää haavoittuvuuksia? On helppoa tuomita rikolliset ja vakoojat, mutta samasta veneestä löytyy myös poliisi. Kybermaailmassa tarvitaan uusia työkaluja, ja poliisin työkalupakki muistuttaa kyberrikollisen ja -vakoojan pakkia yllättävän paljon. Kyky murtautua epäillyn laitteeseen on itse asiassa entistä tärkeämpää maailmassa, jossa tietoliikenteen salakuuntelu on menettämässä tehonsa yleistyvän salakirjoituksen takia.

Haavoittuvuuksien kerääminen ja käyttäminen tukevat luonnollisesti poliisin työtä. Mutta kolikolla on toinenkin puoli. He eivät voi raportoida haavoittuvuutta ohjelmiston tekijälle, koska se tarkoittaisi sen korjaamista. Tämä johtaa eettiseen ongelmaan. Poliisin omien tavoitteiden edistäminen edellyttää haavoittuvuuksien pitämistä salassa. Mutta se on yleisen edun vastaista, koska se viivyttää niiden korjaamista ja voi asettaa suuren määrän tavallisia kansalaisia vaaraan. On oletettavaa, että haavoittuvuuden, jonka poliisi on löytänyt tai ostanut, on löytänyt myös joku toinen taho. Käytännössä sekä viranomaiset että vakoojat ja rikolliset voivat käyttää samaa haavoittuvuutta pitkään, toisistaan riippumatta. Virhe saadaan korjattua vasta kun ohjelmiston tekijä löytää sen itse tai joku eettisesti toimiva tutkija raportoi sen heille.

Tilanne muuttuu vielä pahemmaksi, kun viranomaisten haavoittuvuuskokoelmat vuotavat julkisuuteen. Tämä tapahtui CIA:lle maaliskuussa 2017. Shadow Brokers -niminen hakkeriryhmä on myös paljastanut haavoittuvuuksia vuodesta 2016 lähtien. Merkittävä osa niistä on peräisin NSA:sta. Hyvä puoli vuodoissa on, että ohjelmistokehittäjillä on mahdollisuus korjata haavoittuvuudet. Mutta tällainen massiivinen vuoto tarkoittaa samalla uusia mahdollisuuksia vakoojille ja rikollisille. Moni kone voi jäädä päivittämättä pitkäksi ajaksi syystä tai toisesta. On todella surullista, jos koneen omistaja joutuu kyberrikollisen uhriksi viranomaisilta vuotaneen haavoittuvuustiedon vuoksi.

Tämä onkin yksi kybermaailman eettisistä haasteista. Viranomaiset tarvitsevat haittaohjelmia ja haavoittuvuuksia pärjätäkseen nykymaailmassa. Mutta kumpi vaihtoehto hyödyttää kansalaisia enemmän, haavoittuvuuden hyödyntäminen viranomaisten työssä vai kyberrikollisuuden torjunta raportoimalla sitä ohjelmiston kehittäjälle?

Kirjoittaja on tietoturva-asiantuntija.

LISÄTIETOA:
https://technet.microsoft.com/fi-fi/library/dn425036.aspx

https://developer.apple.com/bug-reporting/

https://www.f-secure.com/en/web/labs_global/vulnerability-reward-program

https://zerodium.com/

https://wikileaks.org/ciav7p1/

https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

 
Julkaistu 29.9.2017
Sivun alkuun |