avs Online

Scrum-tyyppisen toiminnan ja ohjelmistoturvallisuuden hallinnan yhdistäminen on ollut viime aikoina merkittävä teema työpuolella. OWASP AppSec Research 2010 Stockholmissa pitämäni esitys ja kuva aiheesta. Huhtikuussa järjestimme myös workhopin samasta aihepiiristä.

Omasta työstä voi aika harvoin puhua julkisuudessa, mutta aina välillä näitä hetkiä tulee.

Minua ja Nokian tuoteturvallisuusjohtajaa haastateltiin Gary McGraw'n Reality Check -podcastiin. Gary on tunnettu ohjelmistoturvallisuusalan hahmo ja hänen podcastinsa ovat näissä piireissä ihan hyvin kuunneltuja, joten oli ilo ja kunnia olla mukana.

Tarkoitus on kirjoitella turvallisesta ohjelmistotuotannosta SAFECoden blogissa. Ensimmäinen, aika raskas kirjoitelmani puhuu turvallisesta ohjelmistokehityksestä Scrumissa.

(SAFECode kuuluu työasioihini, joilla ei taas ole muuten mitään tekemistä tämän yksityishenkilönä pitämäni blogin kanssa. Mainitsenpahan vaan.)

Brittiläinen Open Rights Group on julkaissut raportin Lontoon toukokuun pormestarivaalien sähköäänestyksestä.

Äänestyksessä käytettiin itse asiassa vain sähköistä ääntenlaskentaa, jossa skannattiin paperiset äänestyslipukkeet. Kritiikki siis keskittyy hyvin erilaisiin asioihin kuin mitä Suomen täyssähköisessä järjestelmässä voidaan olettaa tapahtuvan. Suurin ero on siinä, että paperisia äänestyslippuja käsitellessä Lontoossa pystyttiin seuraamaan laskentaa paljon paremmin - Suomen täyssähköisessä äänestyksessä laskentaa ei voida perinteisessä mielessä ja ihmisaistein seurata lainkaan. Tietokone vain ilmoittaa parhaaksi katsomansa tuloksen. Toisaalta Lontoon sähköisessä laskennassa paperiset laput voidaan tarkistuslaskea osittain tai kokonaan käsinkin, Suomessa mitään tällaista varamenetelmää ei ole.

Suomessahan sähköisen äänestysjärjestelmän tarkka toiminta on sekä liikesalaisuus että salassapidettävää tietoa, joten äänestäjät eivät loppujen lopuksi pysty vakuuttumaan siitä, että äänet tallennettaisiin tai laskettaisiin oikein.

ORGin raportissa mainitaan, että kun laskentakoneesta otettiin nk. nollaraportti (eli todiste siitä, että kone aloittaa laskennan tyhjältä pöydältä), eräs virkailija totesi "mutta tuohan on vain numeroita paperilla".

Toivoisin, että Suomessakin sekä vaalivirkailijat että ehdokkaat toteaisivat tuon saman. Se, että tietokone väittää jotakin, ei välttämättä tee siitä totuutta. Ohjelmoija - vahingossa tai tahallaan - voi vaikuttaa siihen, mitä tietojärjestelmä itsestään operaattoreille raportoi. Varsinkin, jos nykyiset luotettavat virkamiehet korvautuvat joskus tulevaisuuden tiukemmassa sisäpoliittisessa tilanteessa vähemmän rehdeillä. Kannattaa muistaa, että DDR:stäkin on loppujen lopuksi kovin vähän aikaa.

Samaan aikaan Texasissa kamppaillaan täyssähköistä äänestystä vastaan. Dan Wallachin lausunnossa Texasin alahuoneen vaalikomitealle on paljon asioita, jotka heijastelevat suoraan Suomenkin täyssähköisen äänestyksen riskejä. Texashan on niitä harvoja osavaltioita, joissa täyssähköinen äänestäminen on vielä käytössä. Toisin kuin Suomessa, Yhdysvalloissa luottamus täyssähköiseen äänestykseen on murentunut ja äänestäjän varmentama paperituloste on jo vaatimus tai käytössä 39 osavaltiossa.

Wallach toteaa, että tämän hetken täyssähköisissä järjestelmissä on turvallisuusriskejä, joita ei voida hyväksyä.

Nämä riskit seuraavat suoraan siitä, että järjestelmissä ei ole mitään muuta tapaa varmistaa oikeellisuutta kuin prosessien noudattaminen ja auditointi. Nykyiset järjestelmät (ml. Suomen järjestelmä) eivät pysty todistamaan tuloksen oikeellisuutta.

Wallachin lausunnon lopussa hän puhuu tulevaisuuden sähköäänestysjärjestelmistä:

Legislation or regulation can require DREs [täyssähköinen/paperiton äänestysjärjestelmä, Direct Recording Electronic] to have "end to end" verification properties, and provide a high bar for vendors to prove their systems meet these goals. With such systems, we are no longer required to trust that the "black box" operates correctly. Instead, we can challenge these systems, during the election, to prove that they are operating correctly.

Kannattaa huomata, että "to prove" tarkoittaa tässä nimenomaan matemaattista todistusta, ei epämääräisiä auditointitodisteita.

Jos raportti on taitettu LaTeXilla, se ei voi olla läpeensä paha.

Ja ei Turun yliopiston sähköäänestysraportti suinkaan huono ole. Se on hyvä, joskin lyhyt ja suppea katsaus uhkiin, joita täyssähköinen äänestys pitää sisällään.

Mutta onko se auditointiraportti vaiko riskianalyysi? Raportti itsekin sanoo, että se ei auditoinut lopullista järjestelmää. Toisaalta, taitaa olla merkityksetöntä, olisiko auditoijilla ollut lopullinen Knoppix (äänestyskoneen Linux-distribuutio) käytössään vaiko ei, sillä eiväthän he koko järjestelmään olisivat pystyneet läpi käymään kuitenkaan tässä ajassa ja näillä henkilötyömäärillä.

Toinen mielestäni erikoinen painotus raportissa on, että virkailijat ja heidän luotettavuutensa asetetaan järjestelmän hyvyyden mittariksi. Virkailijathan kuitenkin vain operoivat jonkun muun ohjelmoimia tietokoneita. Todellisuudessa vaalituloksen laskee ohjelmisto, ei virkailija tai ääntenlaskentaryhmä. Tätä eroa on selitetty Effin raportissa.

Oikeusministeriön lopputulkinta, että "[s]ähköisen äänestyksen kokeilu arvioitiin turvalliseksi" on hämmentävä. Vai mitä pitäisi sanoa tästä auditointiraportin otteesta:

Tarkasteltavassa järjestelmässä äänien siirtymistä sähköiseen uurnaan ei todista kukaan. Järjestelmästä voi vain tarkistaa, milloin uurnaan on talletettu ääni äänestäjän nimissä. Äänestäjän pitää vain luottaa, että virkailijat ja ohjelmistot toimivat oikein ja ääni on juuri se, miksi hän sen tarkoitti.

Kuulostaako luotettavalta?

Pitää vain luottaa.

Effi on julkaissut raportin Suomen sähköäänestyspilotin yhteensopimattomuudesta Euroopan neuvoston suosituksiin.

Raportti pyrkii selittämään hyvin kansantajuisesti, mikä sähköäänestyksessä on se perustavanlaatuisin ongelma.

Alankomaissa sähköinen äänestys on vastatuulessa. Sähköistä äänestystä kommentoinut neuvoa-antava ryhmä suositti äänestäjän varmistamien paperitulosteiden käyttöönottoa:

Paperitulosteissa kuitenkin nähdään olevan edelleen ongelmia. Alankomaiden sisäministeriön kirje alahuoneen puhemiehelle esittää, että paperivarmistuksessa käytettyjen kirjoittimien elektromagneettinen vuotosäteily, joka mahdollistaa Van Eck -hyökkäykset, on ongelmallinen. Näiden TEMPEST-tyyppisten uhkien mietintä on ollut luonteenomaista Alankomaiden sähköäänestyskeskustelulle aiemminkin - asia, jota Suomessa ei ole edes mainittu.

Käytännössä tilanne on Alankomaissa nyt se, että johtuen työryhmän raportista seuraavissa vaaleissa palattaneen perinteiseen paperilappuäänestykseen. Paperitulosteilla varmennettua sähköäänestystä tutkitaan tulevaisuudessa:

Miksi tämä on hyvä niitti suomalaisen sähköäänestyksen arkkuun?

• Tämä tapahtuu Euroopan Unionissa. Tähän asti suomalaisessa sähköäänestyskeskustelussa ei järjestelmän laatijoiden taholta ole viitattu Yhdysvaltain sähköäänestyksen ongelmiin. Esimerkiksi taannoisen lakiesityksen perusteluissa ei ainakaan minun muistaakseni viitattu Yhdysvaltojen ongelmiin lainkaan - mainittiin ainoastaan se, että siellä kyseinen tekniikka on käytössä. Kuitenkin puolet osavaltioista on jo kieltänyt tai de facto luopunut täyssähköisestä äänestyksestä. Toivottavasti EU:ssa tapahtuvaa kehityskulkua ei pystytä ohittamaan vaikenemalla.
• Hollannin käyttämät äänestyskoneet olivat Nedapin koneita, jotka olivat suomalaisiin verrattuna todella yksinkertaisia ja lähes retrokamaa (ks. kirjoitukseni aiheesta vuodelta 2006). Suomalaiset koneet sisältävät kokonaisen Windowsin Knoppixin ja käsittääkseni Java-virtuaalikoneen. Nedapin koneet olivat Motorolan 68k-pohjaisia ja enemmänkin sulautettuja järjestelmiä kuin yleiskäyttöisiä myllyjä. Jos yksinkertaisemmankaan koneen turvallisuutta ei saatu taattua, miten hankalaa olisi tehdä se monimutkaisemmalle koneelle?

Sähköäänestystilanteen vuoksi blogiani seuraaville pointteri: Effin blogissa on väliaikatiedote. Turun yliopiston auditoinnin pitäisi ministeriön alkuperäisten tietojen mukaan valmistua nyt kevään aikana, joten aihe akutisoitunee lähitulevaisuudessa.

Tänään julkaistaan pari kiinnostavan kuuloista kirjaa: Paratiisi vai panoptikon? ja Silmät auki! Tietoyhteiskunnan uhat ja mahdollisuudet. En ole kumpaakaan nähnyt, mutta pitänee lisätä lukulistalle.

Kusti polki pöydälle Ross Andersonin klassikon kakkospainoksen: Security Engineering 2nd Edition. Kirja toimii kokonsa puolesta turvallisuutta lisäävänä elementtinä myös maailman kriisialueilla, koska se pysäyttäisi varmaan kevyen käsiaseen luodinkin. Security Engineeringin ykköspainos oli ehkä paras kirja oikeanlaisen hajautettujen järjestelmien turvallisuuden ajattelumallin kasvattamiseen ja pikaisella selailulla kakkospainos näyttää olevan laajalti päivitetty ja sen vuoksi uusintaoston ja -lukemisen arvoinen (ykköspainos on ilmaiseksi ladattavissa em. sivulta). Uudessa kakkospainoksessa ovat mukana esimerkiksi sähköinen äänestys ja DRM.

Lisää kuolleita litistettyjä puita tuli postilaatikkoon kirjan The New School of Information Security muodossa. Kirjan hengen tiivistää ehkä väliotsikko "amatöörit tutkivat salaustiedettä, ammattilaiset taloustiedettä". Tähän liittyy läheisesti ulkoisvaikutuksen käsite, joka on useimmille tutumpi esimerkiksi ympäristönsuojelusta. Ulkoisvaikutuksen käsitettä tietoturvan maailmassa käsittelee tarkemmin Geekonomics, joka saattaisi päästä lukulistalleni. Olin jo tuominnut sen kadotukseen kannen ja kammottavan ysärinimen perusteella, mutta sitten kuuntelin kirjoittajan haastattelun (osat 1, 2 ja 3) ja annan ehkä armon käydä oikeudesta.

Jyrki Kasvi kertoo Eduskunnan uudesta äänestysjärjestelmästä, jota ei ole saatu toimimaan vieläkään. Se, että Eduskunnan rajoitettua järjestelmää ei saada toimimaan on huolestuttavaa, sillä Eduskunnan systeemi on usealla mittarilla mitattuna kansanäänestystä helpompi: äänet ovat julkisia (äänestyssalaisuutta ei tarvitse säilyttää), paikallaolijoiden henkilöllisyys on tarkistettu (ainakin uskoisin, että istuntosalin lattialle on melko hankala päästä painamaan jonkun nappulaa, ellei ole kansanedustaja) ja ääniäkin annetaan alle kaksisataa. Kuinka vaikeaa sitten olisi saada toimimaan sähköinen kansanäänestysjärjestelmä, joka olisi vielä oikeastikin luotettava eikä vain "toimisi"?

Lähetin vähän aikaa sitten Oikeusministeriöön pyynnön saada määrittely- ja suunnitteludokumentteja suomalaisesta tekeillä olevasta järjestelmästä - katsotaan, millaisia sieltä tulee. Sillä välin hieman nopeaa tilannekatsausta muualle maailmaan.

Kaliforniassa on analysoitu äänestysjärjestelmien turvallisuutta. Tuloksissa havaitaan muun muassa uhka-analyysien ja testausspeksien puuttumista ja että suunnittelussa ei ole otettu huomioon esimerkiksi arkkitehtuurin lohkomista erilaisiin luottamusalueisiin vaan kaikki koodi on turvallisuusmielessä yhtä herkkää. Lähdekoodin määrä verrattuna toiminnallisuuteen on myös huolestuttavan suuri, joka voi viitata valmiiden (tuntemattoman turvatason) komponenttien uudelleenkäyttöön tai pahimmassa tapauksessa vaikkapa cargo cult -ohjelmointiin.

Oikeusministeriölle lähettämäni pyyntö kattaa nimenomaan uhka-analyysit ja suunnittelu- ja arkkitehtuuridokumentit.

Briteissä taas sikäläisen vaaleja hoitavan tahon Electoral Commissionin toimesta oli todettu, että

Sähköinen äänestäminen ei vielä ole kypsää tekniikkaa ja siihen ei voi luottaa riittävästi, jotta se voitaisiin ottaa käyttöön. (Oma käännös)

Sanoisiko joku virkamies tämän ääneen Suomessakin? Joohan?