avs Online

For stalkers

Webfeeds

Subscribe:

Other pages

Categories

History

<< May >>
Mon Tue Wed Thu Fri Sat Sun
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

More to read

I follow a balanced diet of over 150 blogs and feeds. Examples:
Guerrilla Innovation
ButtUgly
Herding Cats
I Love Typography
EFFIn blogi
Quality in Print
Emergent Chaos
Freedom to Tinker
green LA girl
The Open Rights Group
Jyrki J.J. Kasvi
Ideal Government
Light Blue Touchpaper
The Sartorialist
The New School of Information Security
Siskot kokkaa
Justice League
Arctic Startup
Google EU Public Policy
Lex Oksanen
Statewatch
See also my shared items on Google Reader.

Kuuntelen mm.

Boilerplate

Powered by Blosxom and Asiantuntijat.org Network Services. Blosxom theme based on iztsu.

Opinions and text are mine, unless attributed or implied otherwise.
Specifically any content should not be interpreted to be an opinion of my employer or any other organisation that I am a member of.

Original works at avs Online blog by Antti Vähä-Sipilä, including text, images, video and sound, are licensed under Creative Commons Attribution Required - No Derivatives - Non-Commercial License 3.0 (Unported). Permissions beyond the scope of this license may be available at avs@iki.fi.

Egyptian blue water-lily photographed at Finnish Museum of Natural History, University of Helsinki Botanical Garden.

avs Online - © 1994-2012 Antti Vähä-Sipilä avs@iki.fi Further contact info, GnuPG and S/MIME keys

Creative Commons License

Creative Commons CC+ License

2010-10-26 11:02

Lisää ketterää turvallisuutta

Aiemmin pitämieni ketterien menetelmien ohjelmistoturvallisuusesitysten jatkoksi on nyt tullut vähemmän tietoturvakeskeiselle yleisölle suunnattu, suomenkielinen esitys ketterästä ohjelmistoturvallisuudesta. Tämä on pidetty AKVAn seminaarissa 29. syyskuuta.

Takarivistä kuuluu usein haukotus, joka on ansaittua palautetta. Prosessimalleja on helppo heitellä sivusta, mutta paholainen onkin todella pesiytynyt yksityiskohtiin, eikä yksi prosessi kesää tee. Nämäkin ehdotukset tulisi aina ymmärtää turvallisuutta edistävinä menetelminä. Ne eivät missään tapauksessa ratkaise ohjelmiston tietoturvaongelmia. Samaten on pidettävä mielessä, että prosessien käytännön seuraaminen on joka tapauksessa vaillinaista, vaikka ketteriä koutseja olisi palkattu firmaan läjäpäin.

"Ideologisesti puhtaasta" ketterästä tai hoikasta mallista lähteminen on kuitenkin tärkeää prosessimäärittelyssä sen vuoksi, että puhdasta mallia on aina helpompi sovittaa eri tavoin saastuneisiin käytäntöihin kuin ottaa jo jollakin toisella tavalla saastunut malli käyttöön omassa organisaatiossa. Puhtaat mallit kun saastuvat yleensä yrityksen vallitsevien käytäntöjen vuoksi ja nämä käytännöt vaihtelevat yrityksestä toiseen. Esimerkiksi tuotteen omistaja, product owner, on oikeastaan jonkinlainen antropomorfinen kuvaus kaikille niille asioille, jotka kunnollisessa softakehityksessä pitäisi tehdä. Koska tällaisia superhenkilöitä on vaikea löytää (ainakaan halvalla), eri firmat toteuttavat tuotteen omistajan roolin eri tavoin - esimerkiksi hajauttamalla vastuita usean henkilön kesken. Tämä tuotteen omistajan roolin tulkinta on sidoksissa yrityksen muuhun organisaatiorakenteeseen, poliittiseen peliin, lasikattojen korkeuteen ja selkäänpuukotuksen asteeseen, HR:n kykyyn rekrytoida ja firman kiinnostavuuteen työpaikkana. Tiettyä tuotteen omistajan roolin toteutusta ei siis voida välttämättä suoraan kopioida firmasta toiseen sellaisenaan.

Yllä mainitussa suomenkielisessä esityksessäni tärkeä havainto on myös se, että ketterissä menetelmissäkin voidaan sortua helposti siihen, että niihin lisätään osia, jotka näyttävät pinnallisesti ketteriltä, mutta eivät olekaan pinnan alla hoikkien periaatteiden mukaisia. Hyvä esimerkki on nk. hardening-sprintti, joka sinänsä kuulostaa ketterältä ("sprintti") ja jonka joku voisi vielä ehkä perustella release train -metodin yhteydessä, mutta todellisuudessa se luo laatuvelkaa.

Oli prosessikehys mikä hyvänsä, yhtä vaatimusta ei tietoturvallisuuden saamiseksi voida ohittaa ja se on koulutus. Sekä tuotteen omistajat että suunnittelijat ja toteuttajat tarvitsevat riittävästi tietoa turvallisuudesta. Suurin osa tästä tiedosta ei kuitenkaan ole sitä kuuluisaa rakettitiedettä, vaan pikemminkin oikeaa, ilkeää mielenlaatua. Koulutuksessa hyvä menetelmä onkin vanha kunnon nuotiopiiri: vanhempi tieteenharjoittaja painaa päänsä hieman alaspäin, varjo peittää otsan ja kuulijat saavat taas kuulla yhden tarinan tietoturvallisuuden juoksuhaudoista.

2010-07-08 15:58

Ketterää ohjelmistoturvallisuutta

Scrum-tyyppisen toiminnan ja ohjelmistoturvallisuuden hallinnan yhdistäminen on ollut viime aikoina merkittävä teema työpuolella. OWASP AppSec Research 2010 Stockholmissa pitämäni esitys ja kuva aiheesta. Huhtikuussa järjestimme myös workhopin samasta aihepiiristä.

2009-11-06 10:24

Juttelen mukavia

Omasta työstä voi aika harvoin puhua julkisuudessa, mutta aina välillä näitä hetkiä tulee.

Minua ja Nokian tuoteturvallisuusjohtajaa haastateltiin Gary McGraw'n Reality Check -podcastiin. Gary on tunnettu ohjelmistoturvallisuusalan hahmo ja hänen podcastinsa ovat näissä piireissä ihan hyvin kuunneltuja, joten oli ilo ja kunnia olla mukana.

2009-05-19 22:13

Vierasblogausta toisaalla

Tarkoitus on kirjoitella turvallisesta ohjelmistotuotannosta SAFECoden blogissa. Ensimmäinen, aika raskas kirjoitelmani puhuu turvallisesta ohjelmistokehityksestä Scrumissa.

(SAFECode kuuluu työasioihini, joilla ei taas ole muuten mitään tekemistä tämän yksityishenkilönä pitämäni blogin kanssa. Mainitsenpahan vaan.)

2008-07-03 12:32

ORGin raportti Lontoon sähköisestä ääntenlaskusta

Brittiläinen Open Rights Group on julkaissut raportin Lontoon toukokuun pormestarivaalien sähköäänestyksestä.

Äänestyksessä käytettiin itse asiassa vain sähköistä ääntenlaskentaa, jossa skannattiin paperiset äänestyslipukkeet. Kritiikki siis keskittyy hyvin erilaisiin asioihin kuin mitä Suomen täyssähköisessä järjestelmässä voidaan olettaa tapahtuvan. Suurin ero on siinä, että paperisia äänestyslippuja käsitellessä Lontoossa pystyttiin seuraamaan laskentaa paljon paremmin - Suomen täyssähköisessä äänestyksessä laskentaa ei voida perinteisessä mielessä ja ihmisaistein seurata lainkaan. Tietokone vain ilmoittaa parhaaksi katsomansa tuloksen. Toisaalta Lontoon sähköisessä laskennassa paperiset laput voidaan tarkistuslaskea osittain tai kokonaan käsinkin, Suomessa mitään tällaista varamenetelmää ei ole.

Suomessahan sähköisen äänestysjärjestelmän tarkka toiminta on sekä liikesalaisuus että salassapidettävää tietoa, joten äänestäjät eivät loppujen lopuksi pysty vakuuttumaan siitä, että äänet tallennettaisiin tai laskettaisiin oikein.

ORGin raportissa mainitaan, että kun laskentakoneesta otettiin nk. nollaraportti (eli todiste siitä, että kone aloittaa laskennan tyhjältä pöydältä), eräs virkailija totesi "mutta tuohan on vain numeroita paperilla".

Toivoisin, että Suomessakin sekä vaalivirkailijat että ehdokkaat toteaisivat tuon saman. Se, että tietokone väittää jotakin, ei välttämättä tee siitä totuutta. Ohjelmoija - vahingossa tai tahallaan - voi vaikuttaa siihen, mitä tietojärjestelmä itsestään operaattoreille raportoi. Varsinkin, jos nykyiset luotettavat virkamiehet korvautuvat joskus tulevaisuuden tiukemmassa sisäpoliittisessa tilanteessa vähemmän rehdeillä. Kannattaa muistaa, että DDR:stäkin on loppujen lopuksi kovin vähän aikaa.

Samaan aikaan Texasissa kamppaillaan täyssähköistä äänestystä vastaan. Dan Wallachin lausunnossa Texasin alahuoneen vaalikomitealle on paljon asioita, jotka heijastelevat suoraan Suomenkin täyssähköisen äänestyksen riskejä. Texashan on niitä harvoja osavaltioita, joissa täyssähköinen äänestäminen on vielä käytössä. Toisin kuin Suomessa, Yhdysvalloissa luottamus täyssähköiseen äänestykseen on murentunut ja äänestäjän varmentama paperituloste on jo vaatimus tai käytössä 39 osavaltiossa.

Wallach toteaa, että tämän hetken täyssähköisissä järjestelmissä on turvallisuusriskejä, joita ei voida hyväksyä.

Nämä riskit seuraavat suoraan siitä, että järjestelmissä ei ole mitään muuta tapaa varmistaa oikeellisuutta kuin prosessien noudattaminen ja auditointi. Nykyiset järjestelmät (ml. Suomen järjestelmä) eivät pysty todistamaan tuloksen oikeellisuutta.

Wallachin lausunnon lopussa hän puhuu tulevaisuuden sähköäänestysjärjestelmistä:

Legislation or regulation can require DREs [täyssähköinen/paperiton äänestysjärjestelmä, Direct Recording Electronic] to have "end to end" verification properties, and provide a high bar for vendors to prove their systems meet these goals. With such systems, we are no longer required to trust that the "black box" operates correctly. Instead, we can challenge these systems, during the election, to prove that they are operating correctly.
Kannattaa huomata, että "to prove" tarkoittaa tässä nimenomaan matemaattista todistusta, ei epämääräisiä auditointitodisteita.

2008-06-19 12:40

Sähköäänestyksen auditointiraportista

Jos raportti on taitettu LaTeXilla, se ei voi olla läpeensä paha.

Ja ei Turun yliopiston sähköäänestysraportti suinkaan huono ole. Se on hyvä, joskin lyhyt ja suppea katsaus uhkiin, joita täyssähköinen äänestys pitää sisällään.

Mutta onko se auditointiraportti vaiko riskianalyysi? Raportti itsekin sanoo, että se ei auditoinut lopullista järjestelmää. Toisaalta, taitaa olla merkityksetöntä, olisiko auditoijilla ollut lopullinen Knoppix (äänestyskoneen Linux-distribuutio) käytössään vaiko ei, sillä eiväthän he koko järjestelmään olisivat pystyneet läpi käymään kuitenkaan tässä ajassa ja näillä henkilötyömäärillä.

Toinen mielestäni erikoinen painotus raportissa on, että virkailijat ja heidän luotettavuutensa asetetaan järjestelmän hyvyyden mittariksi. Virkailijathan kuitenkin vain operoivat jonkun muun ohjelmoimia tietokoneita. Todellisuudessa vaalituloksen laskee ohjelmisto, ei virkailija tai ääntenlaskentaryhmä. Tätä eroa on selitetty Effin raportissa.

Oikeusministeriön lopputulkinta, että "[s]ähköisen äänestyksen kokeilu arvioitiin turvalliseksi" on hämmentävä. Vai mitä pitäisi sanoa tästä auditointiraportin otteesta:

Tarkasteltavassa järjestelmässä äänien siirtymistä sähköiseen uurnaan ei todista kukaan. Järjestelmästä voi vain tarkistaa, milloin uurnaan on talletettu ääni äänestäjän nimissä. Äänestäjän pitää vain luottaa, että virkailijat ja ohjelmistot toimivat oikein ja ääni on juuri se, miksi hän sen tarkoitti.

Kuulostaako luotettavalta?

Pitää vain luottaa.

2008-06-19 10:40

Effin sähköäänestysraportti

Effi on julkaissut raportin Suomen sähköäänestyspilotin yhteensopimattomuudesta Euroopan neuvoston suosituksiin.

Raportti pyrkii selittämään hyvin kansantajuisesti, mikä sähköäänestyksessä on se perustavanlaatuisin ongelma.

2008-05-28 12:23

Hollannin täyssähköinen äänestys poistumassa

Alankomaissa sähköinen äänestys on vastatuulessa. Sähköistä äänestystä kommentoinut neuvoa-antava ryhmä suositti äänestäjän varmistamien paperitulosteiden käyttöönottoa:

12.1 Conclusies [...] 4. Het stemmen met papieren stembiljetten in een stemlokaal heeft bezien vanuit de transparantie en controleerbaarheid de voorkeur. In de praktijk zijn echter bezwaren gebleken tegen het tellen van papieren stembiljetten. 5. Een elektronische vorm van stemmen in het stemlokaal die in gelijke mate aan de waarborgen voldoet is realiseerbaar, mits dit resulteert in een papieren stem die alleen door de kiezer zelf kan worden gecontroleerd. [...] 12.2 Aanbevelingen [...] 3. De Commissie beveelt de introductie van de stemprinter en een elektronische stemmenteller in het stemlokaal aan vanwege de aan dit systeem verbonden conceptuele helderheid en eenduidigheid van uitslagen. De papieren stemmen worden elektronisch geteld. Het handmatig tellen moet slechts plaatsvinden bij technische storingen of als er gerede twijfel bestaat over de juiste werking van de apparatuur.

Paperitulosteissa kuitenkin nähdään olevan edelleen ongelmia. Alankomaiden sisäministeriön kirje alahuoneen puhemiehelle esittää, että paperivarmistuksessa käytettyjen kirjoittimien elektromagneettinen vuotosäteily, joka mahdollistaa Van Eck -hyökkäykset, on ongelmallinen. Näiden TEMPEST-tyyppisten uhkien mietintä on ollut luonteenomaista Alankomaiden sähköäänestyskeskustelulle aiemminkin - asia, jota Suomessa ei ole edes mainittu.

Käytännössä tilanne on Alankomaissa nyt se, että johtuen työryhmän raportista seuraavissa vaaleissa palattaneen perinteiseen paperilappuäänestykseen. Paperitulosteilla varmennettua sähköäänestystä tutkitaan tulevaisuudessa:

De conclusie dat de invoering van de stemprinter niet haalbaar is heeft tot gevolg dat niet alleen voor de eerstkomende verkiezingen in Nederland gestemd zal worden met papieren stembiljetten, maar dat dit in beginsel structureel het geval zal zijn. Het ministerie van BZK zal wel de ontwikkelingen op het gebied van elektronisch stemmen in het algemeen en op het terrein van de compromitterende straling in het bijzonder blijven volgen. Het is immers niet uit te sluiten dat in de toekomst de belemmeringen, die er nu zijn voor de invoering van de stemprinter, zullen verdwijnen. Daarbij zullen ook ontwikkelingen in andere landen, zoals bijvoorbeeld België, worden betrokken die het elektronisch stemmen (her)overwegen.

Miksi tämä on hyvä niitti suomalaisen sähköäänestyksen arkkuun?

  • Tämä tapahtuu Euroopan Unionissa. Tähän asti suomalaisessa sähköäänestyskeskustelussa ei järjestelmän laatijoiden taholta ole viitattu Yhdysvaltain sähköäänestyksen ongelmiin. Esimerkiksi taannoisen lakiesityksen perusteluissa ei ainakaan minun muistaakseni viitattu Yhdysvaltojen ongelmiin lainkaan - mainittiin ainoastaan se, että siellä kyseinen tekniikka on käytössä. Kuitenkin puolet osavaltioista on jo kieltänyt tai de facto luopunut täyssähköisestä äänestyksestä. Toivottavasti EU:ssa tapahtuvaa kehityskulkua ei pystytä ohittamaan vaikenemalla.
  • Hollannin käyttämät äänestyskoneet olivat Nedapin koneita, jotka olivat suomalaisiin verrattuna todella yksinkertaisia ja lähes retrokamaa (ks. kirjoitukseni aiheesta vuodelta 2006). Suomalaiset koneet sisältävät kokonaisen Windowsin Knoppixin ja käsittääkseni Java-virtuaalikoneen. Nedapin koneet olivat Motorolan 68k-pohjaisia ja enemmänkin sulautettuja järjestelmiä kuin yleiskäyttöisiä myllyjä. Jos yksinkertaisemmankaan koneen turvallisuutta ei saatu taattua, miten hankalaa olisi tehdä se monimutkaisemmalle koneelle?

2008-05-21 23:54

Lisää sähköäänestysdokumentteja

Sähköäänestystilanteen vuoksi blogiani seuraaville pointteri: Effin blogissa on väliaikatiedote. Turun yliopiston auditoinnin pitäisi ministeriön alkuperäisten tietojen mukaan valmistua nyt kevään aikana, joten aihe akutisoitunee lähitulevaisuudessa.

2008-04-25 14:19

Kirjakatsaus

Tänään julkaistaan pari kiinnostavan kuuloista kirjaa: Paratiisi vai panoptikon? ja Silmät auki! Tietoyhteiskunnan uhat ja mahdollisuudet. En ole kumpaakaan nähnyt, mutta pitänee lisätä lukulistalle.

Kusti polki pöydälle Ross Andersonin klassikon kakkospainoksen: Security Engineering 2nd Edition. Kirja toimii kokonsa puolesta turvallisuutta lisäävänä elementtinä myös maailman kriisialueilla, koska se pysäyttäisi varmaan kevyen käsiaseen luodinkin. Security Engineeringin ykköspainos oli ehkä paras kirja oikeanlaisen hajautettujen järjestelmien turvallisuuden ajattelumallin kasvattamiseen ja pikaisella selailulla kakkospainos näyttää olevan laajalti päivitetty ja sen vuoksi uusintaoston ja -lukemisen arvoinen (ykköspainos on ilmaiseksi ladattavissa em. sivulta). Uudessa kakkospainoksessa ovat mukana esimerkiksi sähköinen äänestys ja DRM.

Lisää kuolleita litistettyjä puita tuli postilaatikkoon kirjan The New School of Information Security muodossa. Kirjan hengen tiivistää ehkä väliotsikko "amatöörit tutkivat salaustiedettä, ammattilaiset taloustiedettä". Tähän liittyy läheisesti ulkoisvaikutuksen käsite, joka on useimmille tutumpi esimerkiksi ympäristönsuojelusta. Ulkoisvaikutuksen käsitettä tietoturvan maailmassa käsittelee tarkemmin Geekonomics, joka saattaisi päästä lukulistalleni. Olin jo tuominnut sen kadotukseen kannen ja kammottavan ysärinimen perusteella, mutta sitten kuuntelin kirjoittajan haastattelun (osat 1, 2 ja 3) ja annan ehkä armon käydä oikeudesta.

Earlier 10 entries