avs Online

Aiemmin pitämieni ketterien menetelmien ohjelmistoturvallisuusesitysten jatkoksi on nyt tullut vähemmän tietoturvakeskeiselle yleisölle suunnattu, suomenkielinen esitys ketterästä ohjelmistoturvallisuudesta. Tämä on pidetty AKVAn seminaarissa 29. syyskuuta.

Takarivistä kuuluu usein haukotus, joka on ansaittua palautetta. Prosessimalleja on helppo heitellä sivusta, mutta paholainen onkin todella pesiytynyt yksityiskohtiin, eikä yksi prosessi kesää tee. Nämäkin ehdotukset tulisi aina ymmärtää turvallisuutta edistävinä menetelminä. Ne eivät missään tapauksessa ratkaise ohjelmiston tietoturvaongelmia. Samaten on pidettävä mielessä, että prosessien käytännön seuraaminen on joka tapauksessa vaillinaista, vaikka ketteriä koutseja olisi palkattu firmaan läjäpäin.

"Ideologisesti puhtaasta" ketterästä tai hoikasta mallista lähteminen on kuitenkin tärkeää prosessimäärittelyssä sen vuoksi, että puhdasta mallia on aina helpompi sovittaa eri tavoin saastuneisiin käytäntöihin kuin ottaa jo jollakin toisella tavalla saastunut malli käyttöön omassa organisaatiossa. Puhtaat mallit kun saastuvat yleensä yrityksen vallitsevien käytäntöjen vuoksi ja nämä käytännöt vaihtelevat yrityksestä toiseen. Esimerkiksi tuotteen omistaja, product owner, on oikeastaan jonkinlainen antropomorfinen kuvaus kaikille niille asioille, jotka kunnollisessa softakehityksessä pitäisi tehdä. Koska tällaisia superhenkilöitä on vaikea löytää (ainakaan halvalla), eri firmat toteuttavat tuotteen omistajan roolin eri tavoin - esimerkiksi hajauttamalla vastuita usean henkilön kesken. Tämä tuotteen omistajan roolin tulkinta on sidoksissa yrityksen muuhun organisaatiorakenteeseen, poliittiseen peliin, lasikattojen korkeuteen ja selkäänpuukotuksen asteeseen, HR:n kykyyn rekrytoida ja firman kiinnostavuuteen työpaikkana. Tiettyä tuotteen omistajan roolin toteutusta ei siis voida välttämättä suoraan kopioida firmasta toiseen sellaisenaan.

Yllä mainitussa suomenkielisessä esityksessäni tärkeä havainto on myös se, että ketterissä menetelmissäkin voidaan sortua helposti siihen, että niihin lisätään osia, jotka näyttävät pinnallisesti ketteriltä, mutta eivät olekaan pinnan alla hoikkien periaatteiden mukaisia. Hyvä esimerkki on nk. hardening-sprintti, joka sinänsä kuulostaa ketterältä ("sprintti") ja jonka joku voisi vielä ehkä perustella release train -metodin yhteydessä, mutta todellisuudessa se luo laatuvelkaa.

Oli prosessikehys mikä hyvänsä, yhtä vaatimusta ei tietoturvallisuuden saamiseksi voida ohittaa ja se on koulutus. Sekä tuotteen omistajat että suunnittelijat ja toteuttajat tarvitsevat riittävästi tietoa turvallisuudesta. Suurin osa tästä tiedosta ei kuitenkaan ole sitä kuuluisaa rakettitiedettä, vaan pikemminkin oikeaa, ilkeää mielenlaatua. Koulutuksessa hyvä menetelmä onkin vanha kunnon nuotiopiiri: vanhempi tieteenharjoittaja painaa päänsä hieman alaspäin, varjo peittää otsan ja kuulijat saavat taas kuulla yhden tarinan tietoturvallisuuden juoksuhaudoista.

Scrum-tyyppisen toiminnan ja ohjelmistoturvallisuuden hallinnan yhdistäminen on ollut viime aikoina merkittävä teema työpuolella. OWASP AppSec Research 2010 Stockholmissa pitämäni esitys ja kuva aiheesta. Huhtikuussa järjestimme myös workhopin samasta aihepiiristä.

Omasta työstä voi aika harvoin puhua julkisuudessa, mutta aina välillä näitä hetkiä tulee.

Minua ja Nokian tuoteturvallisuusjohtajaa haastateltiin Gary McGraw'n Reality Check -podcastiin. Gary on tunnettu ohjelmistoturvallisuusalan hahmo ja hänen podcastinsa ovat näissä piireissä ihan hyvin kuunneltuja, joten oli ilo ja kunnia olla mukana.

Tarkoitus on kirjoitella turvallisesta ohjelmistotuotannosta SAFECoden blogissa. Ensimmäinen, aika raskas kirjoitelmani puhuu turvallisesta ohjelmistokehityksestä Scrumissa.

(SAFECode kuuluu työasioihini, joilla ei taas ole muuten mitään tekemistä tämän yksityishenkilönä pitämäni blogin kanssa. Mainitsenpahan vaan.)

Brittiläinen Open Rights Group on julkaissut raportin Lontoon toukokuun pormestarivaalien sähköäänestyksestä.

Äänestyksessä käytettiin itse asiassa vain sähköistä ääntenlaskentaa, jossa skannattiin paperiset äänestyslipukkeet. Kritiikki siis keskittyy hyvin erilaisiin asioihin kuin mitä Suomen täyssähköisessä järjestelmässä voidaan olettaa tapahtuvan. Suurin ero on siinä, että paperisia äänestyslippuja käsitellessä Lontoossa pystyttiin seuraamaan laskentaa paljon paremmin - Suomen täyssähköisessä äänestyksessä laskentaa ei voida perinteisessä mielessä ja ihmisaistein seurata lainkaan. Tietokone vain ilmoittaa parhaaksi katsomansa tuloksen. Toisaalta Lontoon sähköisessä laskennassa paperiset laput voidaan tarkistuslaskea osittain tai kokonaan käsinkin, Suomessa mitään tällaista varamenetelmää ei ole.

Suomessahan sähköisen äänestysjärjestelmän tarkka toiminta on sekä liikesalaisuus että salassapidettävää tietoa, joten äänestäjät eivät loppujen lopuksi pysty vakuuttumaan siitä, että äänet tallennettaisiin tai laskettaisiin oikein.

ORGin raportissa mainitaan, että kun laskentakoneesta otettiin nk. nollaraportti (eli todiste siitä, että kone aloittaa laskennan tyhjältä pöydältä), eräs virkailija totesi "mutta tuohan on vain numeroita paperilla".

Toivoisin, että Suomessakin sekä vaalivirkailijat että ehdokkaat toteaisivat tuon saman. Se, että tietokone väittää jotakin, ei välttämättä tee siitä totuutta. Ohjelmoija - vahingossa tai tahallaan - voi vaikuttaa siihen, mitä tietojärjestelmä itsestään operaattoreille raportoi. Varsinkin, jos nykyiset luotettavat virkamiehet korvautuvat joskus tulevaisuuden tiukemmassa sisäpoliittisessa tilanteessa vähemmän rehdeillä. Kannattaa muistaa, että DDR:stäkin on loppujen lopuksi kovin vähän aikaa.

Samaan aikaan Texasissa kamppaillaan täyssähköistä äänestystä vastaan. Dan Wallachin lausunnossa Texasin alahuoneen vaalikomitealle on paljon asioita, jotka heijastelevat suoraan Suomenkin täyssähköisen äänestyksen riskejä. Texashan on niitä harvoja osavaltioita, joissa täyssähköinen äänestäminen on vielä käytössä. Toisin kuin Suomessa, Yhdysvalloissa luottamus täyssähköiseen äänestykseen on murentunut ja äänestäjän varmentama paperituloste on jo vaatimus tai käytössä 39 osavaltiossa.

Wallach toteaa, että tämän hetken täyssähköisissä järjestelmissä on turvallisuusriskejä, joita ei voida hyväksyä.

Nämä riskit seuraavat suoraan siitä, että järjestelmissä ei ole mitään muuta tapaa varmistaa oikeellisuutta kuin prosessien noudattaminen ja auditointi. Nykyiset järjestelmät (ml. Suomen järjestelmä) eivät pysty todistamaan tuloksen oikeellisuutta.

Wallachin lausunnon lopussa hän puhuu tulevaisuuden sähköäänestysjärjestelmistä:

Legislation or regulation can require DREs [täyssähköinen/paperiton äänestysjärjestelmä, Direct Recording Electronic] to have "end to end" verification properties, and provide a high bar for vendors to prove their systems meet these goals. With such systems, we are no longer required to trust that the "black box" operates correctly. Instead, we can challenge these systems, during the election, to prove that they are operating correctly.

Kannattaa huomata, että "to prove" tarkoittaa tässä nimenomaan matemaattista todistusta, ei epämääräisiä auditointitodisteita.

Jos raportti on taitettu LaTeXilla, se ei voi olla läpeensä paha.

Ja ei Turun yliopiston sähköäänestysraportti suinkaan huono ole. Se on hyvä, joskin lyhyt ja suppea katsaus uhkiin, joita täyssähköinen äänestys pitää sisällään.

Mutta onko se auditointiraportti vaiko riskianalyysi? Raportti itsekin sanoo, että se ei auditoinut lopullista järjestelmää. Toisaalta, taitaa olla merkityksetöntä, olisiko auditoijilla ollut lopullinen Knoppix (äänestyskoneen Linux-distribuutio) käytössään vaiko ei, sillä eiväthän he koko järjestelmään olisivat pystyneet läpi käymään kuitenkaan tässä ajassa ja näillä henkilötyömäärillä.

Toinen mielestäni erikoinen painotus raportissa on, että virkailijat ja heidän luotettavuutensa asetetaan järjestelmän hyvyyden mittariksi. Virkailijathan kuitenkin vain operoivat jonkun muun ohjelmoimia tietokoneita. Todellisuudessa vaalituloksen laskee ohjelmisto, ei virkailija tai ääntenlaskentaryhmä. Tätä eroa on selitetty Effin raportissa.

Oikeusministeriön lopputulkinta, että "[s]ähköisen äänestyksen kokeilu arvioitiin turvalliseksi" on hämmentävä. Vai mitä pitäisi sanoa tästä auditointiraportin otteesta:

Tarkasteltavassa järjestelmässä äänien siirtymistä sähköiseen uurnaan ei todista kukaan. Järjestelmästä voi vain tarkistaa, milloin uurnaan on talletettu ääni äänestäjän nimissä. Äänestäjän pitää vain luottaa, että virkailijat ja ohjelmistot toimivat oikein ja ääni on juuri se, miksi hän sen tarkoitti.

Kuulostaako luotettavalta?

Pitää vain luottaa.

Effi on julkaissut raportin Suomen sähköäänestyspilotin yhteensopimattomuudesta Euroopan neuvoston suosituksiin.

Raportti pyrkii selittämään hyvin kansantajuisesti, mikä sähköäänestyksessä on se perustavanlaatuisin ongelma.

Alankomaissa sähköinen äänestys on vastatuulessa. Sähköistä äänestystä kommentoinut neuvoa-antava ryhmä suositti äänestäjän varmistamien paperitulosteiden käyttöönottoa:

Paperitulosteissa kuitenkin nähdään olevan edelleen ongelmia. Alankomaiden sisäministeriön kirje alahuoneen puhemiehelle esittää, että paperivarmistuksessa käytettyjen kirjoittimien elektromagneettinen vuotosäteily, joka mahdollistaa Van Eck -hyökkäykset, on ongelmallinen. Näiden TEMPEST-tyyppisten uhkien mietintä on ollut luonteenomaista Alankomaiden sähköäänestyskeskustelulle aiemminkin - asia, jota Suomessa ei ole edes mainittu.

Käytännössä tilanne on Alankomaissa nyt se, että johtuen työryhmän raportista seuraavissa vaaleissa palattaneen perinteiseen paperilappuäänestykseen. Paperitulosteilla varmennettua sähköäänestystä tutkitaan tulevaisuudessa:

Miksi tämä on hyvä niitti suomalaisen sähköäänestyksen arkkuun?

• Tämä tapahtuu Euroopan Unionissa. Tähän asti suomalaisessa sähköäänestyskeskustelussa ei järjestelmän laatijoiden taholta ole viitattu Yhdysvaltain sähköäänestyksen ongelmiin. Esimerkiksi taannoisen lakiesityksen perusteluissa ei ainakaan minun muistaakseni viitattu Yhdysvaltojen ongelmiin lainkaan - mainittiin ainoastaan se, että siellä kyseinen tekniikka on käytössä. Kuitenkin puolet osavaltioista on jo kieltänyt tai de facto luopunut täyssähköisestä äänestyksestä. Toivottavasti EU:ssa tapahtuvaa kehityskulkua ei pystytä ohittamaan vaikenemalla.
• Hollannin käyttämät äänestyskoneet olivat Nedapin koneita, jotka olivat suomalaisiin verrattuna todella yksinkertaisia ja lähes retrokamaa (ks. kirjoitukseni aiheesta vuodelta 2006). Suomalaiset koneet sisältävät kokonaisen Windowsin Knoppixin ja käsittääkseni Java-virtuaalikoneen. Nedapin koneet olivat Motorolan 68k-pohjaisia ja enemmänkin sulautettuja järjestelmiä kuin yleiskäyttöisiä myllyjä. Jos yksinkertaisemmankaan koneen turvallisuutta ei saatu taattua, miten hankalaa olisi tehdä se monimutkaisemmalle koneelle?

Sähköäänestystilanteen vuoksi blogiani seuraaville pointteri: Effin blogissa on väliaikatiedote. Turun yliopiston auditoinnin pitäisi ministeriön alkuperäisten tietojen mukaan valmistua nyt kevään aikana, joten aihe akutisoitunee lähitulevaisuudessa.

Tänään julkaistaan pari kiinnostavan kuuloista kirjaa: Paratiisi vai panoptikon? ja Silmät auki! Tietoyhteiskunnan uhat ja mahdollisuudet. En ole kumpaakaan nähnyt, mutta pitänee lisätä lukulistalle.

Kusti polki pöydälle Ross Andersonin klassikon kakkospainoksen: Security Engineering 2nd Edition. Kirja toimii kokonsa puolesta turvallisuutta lisäävänä elementtinä myös maailman kriisialueilla, koska se pysäyttäisi varmaan kevyen käsiaseen luodinkin. Security Engineeringin ykköspainos oli ehkä paras kirja oikeanlaisen hajautettujen järjestelmien turvallisuuden ajattelumallin kasvattamiseen ja pikaisella selailulla kakkospainos näyttää olevan laajalti päivitetty ja sen vuoksi uusintaoston ja -lukemisen arvoinen (ykköspainos on ilmaiseksi ladattavissa em. sivulta). Uudessa kakkospainoksessa ovat mukana esimerkiksi sähköinen äänestys ja DRM.

Lisää kuolleita litistettyjä puita tuli postilaatikkoon kirjan The New School of Information Security muodossa. Kirjan hengen tiivistää ehkä väliotsikko "amatöörit tutkivat salaustiedettä, ammattilaiset taloustiedettä". Tähän liittyy läheisesti ulkoisvaikutuksen käsite, joka on useimmille tutumpi esimerkiksi ympäristönsuojelusta. Ulkoisvaikutuksen käsitettä tietoturvan maailmassa käsittelee tarkemmin Geekonomics, joka saattaisi päästä lukulistalleni. Olin jo tuominnut sen kadotukseen kannen ja kammottavan ysärinimen perusteella, mutta sitten kuuntelin kirjoittajan haastattelun (osat 1, 2 ja 3) ja annan ehkä armon käydä oikeudesta.