avs Online

Social networking

Webfeeds

Subscribe:

Mainostila

Soihtu-kahvila
Soihtu - kahvila Etu-Töölössä


For stalkers

Other pages

Categories

History

<< September >>
Mon Tue Wed Thu Fri Sat Sun
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      

More to read

I follow a balanced diet of over 100 blogs and feeds. Examples:
VeeKoo's blog
Guerrilla Innovation
ButtUgly
Deeplinks
EFFIn blogi
Emergent Chaos
Financial Cryptography
Freedom to Tinker
green LA girl
The Open Rights Group
Jarnography
Jyrki J.J. Kasvi
Ideal Government
Light Blue Touchpaper
Matasano Chargen
QuickLinks
The Sartorialist
The New School of Information Security
Siskot kokkaa
Schneier on Security
Statewatch
See also my shared items on Google Reader.

Kuuntelen mm.

Sää Helsingissä

Boilerplate

Powered by Blosxom and Asiantuntijat.org Network Services. Blosxom theme based on iztsu.

Opinions and text are mine, unless attributed or implied otherwise.
Specifically any content should not be interpreted to be an opinion of my employer or any other organisation that I am a member of.

Original works at avs Online blog by Antti Vähä-Sipilä, including text, images, video and sound, are licensed under Creative Commons Attribution Required - No Derivatives - Non-Commercial License 1.0 (Finland). Permissions beyond the scope of this license may be available at avs@iki.fi.

Egyptian blue water-lily photographed at Finnish Museum of Natural History, University of Helsinki Botanical Garden.

avs Online - © 1994-2010 Antti Vähä-Sipilä avs@iki.fi Further contact info, GnuPG and S/MIME keys

Creative Commons License

Creative Commons CC+ License

2010-07-08 15:58

Ketterää ohjelmistoturvallisuutta

Scrum-tyyppisen toiminnan ja ohjelmistoturvallisuuden hallinnan yhdistäminen on ollut viime aikoina merkittävä teema työpuolella. OWASP AppSec Research 2010 Stockholmissa pitämäni esitys ja kuva aiheesta. Huhtikuussa järjestimme myös workhopin samasta aihepiiristä.

2009-11-06 10:24

Juttelen mukavia

Omasta työstä voi aika harvoin puhua julkisuudessa, mutta aina välillä näitä hetkiä tulee.

Minua ja Nokian tuoteturvallisuusjohtajaa haastateltiin Gary McGraw'n Reality Check -podcastiin. Gary on tunnettu ohjelmistoturvallisuusalan hahmo ja hänen podcastinsa ovat näissä piireissä ihan hyvin kuunneltuja, joten oli ilo ja kunnia olla mukana.

2009-05-19 22:13

Vierasblogausta toisaalla

Tarkoitus on kirjoitella turvallisesta ohjelmistotuotannosta SAFECoden blogissa. Ensimmäinen, aika raskas kirjoitelmani puhuu turvallisesta ohjelmistokehityksestä Scrumissa.

(SAFECode kuuluu työasioihini, joilla ei taas ole muuten mitään tekemistä tämän yksityishenkilönä pitämäni blogin kanssa. Mainitsenpahan vaan.)

2008-07-03 12:32

ORGin raportti Lontoon sähköisestä ääntenlaskusta

Brittiläinen Open Rights Group on julkaissut raportin Lontoon toukokuun pormestarivaalien sähköäänestyksestä.

Äänestyksessä käytettiin itse asiassa vain sähköistä ääntenlaskentaa, jossa skannattiin paperiset äänestyslipukkeet. Kritiikki siis keskittyy hyvin erilaisiin asioihin kuin mitä Suomen täyssähköisessä järjestelmässä voidaan olettaa tapahtuvan. Suurin ero on siinä, että paperisia äänestyslippuja käsitellessä Lontoossa pystyttiin seuraamaan laskentaa paljon paremmin - Suomen täyssähköisessä äänestyksessä laskentaa ei voida perinteisessä mielessä ja ihmisaistein seurata lainkaan. Tietokone vain ilmoittaa parhaaksi katsomansa tuloksen. Toisaalta Lontoon sähköisessä laskennassa paperiset laput voidaan tarkistuslaskea osittain tai kokonaan käsinkin, Suomessa mitään tällaista varamenetelmää ei ole.

Suomessahan sähköisen äänestysjärjestelmän tarkka toiminta on sekä liikesalaisuus että salassapidettävää tietoa, joten äänestäjät eivät loppujen lopuksi pysty vakuuttumaan siitä, että äänet tallennettaisiin tai laskettaisiin oikein.

ORGin raportissa mainitaan, että kun laskentakoneesta otettiin nk. nollaraportti (eli todiste siitä, että kone aloittaa laskennan tyhjältä pöydältä), eräs virkailija totesi "mutta tuohan on vain numeroita paperilla".

Toivoisin, että Suomessakin sekä vaalivirkailijat että ehdokkaat toteaisivat tuon saman. Se, että tietokone väittää jotakin, ei välttämättä tee siitä totuutta. Ohjelmoija - vahingossa tai tahallaan - voi vaikuttaa siihen, mitä tietojärjestelmä itsestään operaattoreille raportoi. Varsinkin, jos nykyiset luotettavat virkamiehet korvautuvat joskus tulevaisuuden tiukemmassa sisäpoliittisessa tilanteessa vähemmän rehdeillä. Kannattaa muistaa, että DDR:stäkin on loppujen lopuksi kovin vähän aikaa.

Samaan aikaan Texasissa kamppaillaan täyssähköistä äänestystä vastaan. Dan Wallachin lausunnossa Texasin alahuoneen vaalikomitealle on paljon asioita, jotka heijastelevat suoraan Suomenkin täyssähköisen äänestyksen riskejä. Texashan on niitä harvoja osavaltioita, joissa täyssähköinen äänestäminen on vielä käytössä. Toisin kuin Suomessa, Yhdysvalloissa luottamus täyssähköiseen äänestykseen on murentunut ja äänestäjän varmentama paperituloste on jo vaatimus tai käytössä 39 osavaltiossa.

Wallach toteaa, että tämän hetken täyssähköisissä järjestelmissä on turvallisuusriskejä, joita ei voida hyväksyä.

Nämä riskit seuraavat suoraan siitä, että järjestelmissä ei ole mitään muuta tapaa varmistaa oikeellisuutta kuin prosessien noudattaminen ja auditointi. Nykyiset järjestelmät (ml. Suomen järjestelmä) eivät pysty todistamaan tuloksen oikeellisuutta.

Wallachin lausunnon lopussa hän puhuu tulevaisuuden sähköäänestysjärjestelmistä:

Legislation or regulation can require DREs [täyssähköinen/paperiton äänestysjärjestelmä, Direct Recording Electronic] to have "end to end" verification properties, and provide a high bar for vendors to prove their systems meet these goals. With such systems, we are no longer required to trust that the "black box" operates correctly. Instead, we can challenge these systems, during the election, to prove that they are operating correctly.
Kannattaa huomata, että "to prove" tarkoittaa tässä nimenomaan matemaattista todistusta, ei epämääräisiä auditointitodisteita.

2008-06-19 12:40

Sähköäänestyksen auditointiraportista

Jos raportti on taitettu LaTeXilla, se ei voi olla läpeensä paha.

Ja ei Turun yliopiston sähköäänestysraportti suinkaan huono ole. Se on hyvä, joskin lyhyt ja suppea katsaus uhkiin, joita täyssähköinen äänestys pitää sisällään.

Mutta onko se auditointiraportti vaiko riskianalyysi? Raportti itsekin sanoo, että se ei auditoinut lopullista järjestelmää. Toisaalta, taitaa olla merkityksetöntä, olisiko auditoijilla ollut lopullinen Knoppix (äänestyskoneen Linux-distribuutio) käytössään vaiko ei, sillä eiväthän he koko järjestelmään olisivat pystyneet läpi käymään kuitenkaan tässä ajassa ja näillä henkilötyömäärillä.

Toinen mielestäni erikoinen painotus raportissa on, että virkailijat ja heidän luotettavuutensa asetetaan järjestelmän hyvyyden mittariksi. Virkailijathan kuitenkin vain operoivat jonkun muun ohjelmoimia tietokoneita. Todellisuudessa vaalituloksen laskee ohjelmisto, ei virkailija tai ääntenlaskentaryhmä. Tätä eroa on selitetty Effin raportissa.

Oikeusministeriön lopputulkinta, että "[s]ähköisen äänestyksen kokeilu arvioitiin turvalliseksi" on hämmentävä. Vai mitä pitäisi sanoa tästä auditointiraportin otteesta:

Tarkasteltavassa järjestelmässä äänien siirtymistä sähköiseen uurnaan ei todista kukaan. Järjestelmästä voi vain tarkistaa, milloin uurnaan on talletettu ääni äänestäjän nimissä. Äänestäjän pitää vain luottaa, että virkailijat ja ohjelmistot toimivat oikein ja ääni on juuri se, miksi hän sen tarkoitti.

Kuulostaako luotettavalta?

Pitää vain luottaa.

2008-06-19 10:40

Effin sähköäänestysraportti

Effi on julkaissut raportin Suomen sähköäänestyspilotin yhteensopimattomuudesta Euroopan neuvoston suosituksiin.

Raportti pyrkii selittämään hyvin kansantajuisesti, mikä sähköäänestyksessä on se perustavanlaatuisin ongelma.

2008-05-28 12:23

Hollannin täyssähköinen äänestys poistumassa

Alankomaissa sähköinen äänestys on vastatuulessa. Sähköistä äänestystä kommentoinut neuvoa-antava ryhmä suositti äänestäjän varmistamien paperitulosteiden käyttöönottoa:

12.1 Conclusies [...] 4. Het stemmen met papieren stembiljetten in een stemlokaal heeft bezien vanuit de transparantie en controleerbaarheid de voorkeur. In de praktijk zijn echter bezwaren gebleken tegen het tellen van papieren stembiljetten. 5. Een elektronische vorm van stemmen in het stemlokaal die in gelijke mate aan de waarborgen voldoet is realiseerbaar, mits dit resulteert in een papieren stem die alleen door de kiezer zelf kan worden gecontroleerd. [...] 12.2 Aanbevelingen [...] 3. De Commissie beveelt de introductie van de stemprinter en een elektronische stemmenteller in het stemlokaal aan vanwege de aan dit systeem verbonden conceptuele helderheid en eenduidigheid van uitslagen. De papieren stemmen worden elektronisch geteld. Het handmatig tellen moet slechts plaatsvinden bij technische storingen of als er gerede twijfel bestaat over de juiste werking van de apparatuur.

Paperitulosteissa kuitenkin nähdään olevan edelleen ongelmia. Alankomaiden sisäministeriön kirje alahuoneen puhemiehelle esittää, että paperivarmistuksessa käytettyjen kirjoittimien elektromagneettinen vuotosäteily, joka mahdollistaa Van Eck -hyökkäykset, on ongelmallinen. Näiden TEMPEST-tyyppisten uhkien mietintä on ollut luonteenomaista Alankomaiden sähköäänestyskeskustelulle aiemminkin - asia, jota Suomessa ei ole edes mainittu.

Käytännössä tilanne on Alankomaissa nyt se, että johtuen työryhmän raportista seuraavissa vaaleissa palattaneen perinteiseen paperilappuäänestykseen. Paperitulosteilla varmennettua sähköäänestystä tutkitaan tulevaisuudessa:

De conclusie dat de invoering van de stemprinter niet haalbaar is heeft tot gevolg dat niet alleen voor de eerstkomende verkiezingen in Nederland gestemd zal worden met papieren stembiljetten, maar dat dit in beginsel structureel het geval zal zijn. Het ministerie van BZK zal wel de ontwikkelingen op het gebied van elektronisch stemmen in het algemeen en op het terrein van de compromitterende straling in het bijzonder blijven volgen. Het is immers niet uit te sluiten dat in de toekomst de belemmeringen, die er nu zijn voor de invoering van de stemprinter, zullen verdwijnen. Daarbij zullen ook ontwikkelingen in andere landen, zoals bijvoorbeeld België, worden betrokken die het elektronisch stemmen (her)overwegen.

Miksi tämä on hyvä niitti suomalaisen sähköäänestyksen arkkuun?

  • Tämä tapahtuu Euroopan Unionissa. Tähän asti suomalaisessa sähköäänestyskeskustelussa ei järjestelmän laatijoiden taholta ole viitattu Yhdysvaltain sähköäänestyksen ongelmiin. Esimerkiksi taannoisen lakiesityksen perusteluissa ei ainakaan minun muistaakseni viitattu Yhdysvaltojen ongelmiin lainkaan - mainittiin ainoastaan se, että siellä kyseinen tekniikka on käytössä. Kuitenkin puolet osavaltioista on jo kieltänyt tai de facto luopunut täyssähköisestä äänestyksestä. Toivottavasti EU:ssa tapahtuvaa kehityskulkua ei pystytä ohittamaan vaikenemalla.
  • Hollannin käyttämät äänestyskoneet olivat Nedapin koneita, jotka olivat suomalaisiin verrattuna todella yksinkertaisia ja lähes retrokamaa (ks. kirjoitukseni aiheesta vuodelta 2006). Suomalaiset koneet sisältävät kokonaisen Windowsin Knoppixin ja käsittääkseni Java-virtuaalikoneen. Nedapin koneet olivat Motorolan 68k-pohjaisia ja enemmänkin sulautettuja järjestelmiä kuin yleiskäyttöisiä myllyjä. Jos yksinkertaisemmankaan koneen turvallisuutta ei saatu taattua, miten hankalaa olisi tehdä se monimutkaisemmalle koneelle?

2008-05-21 23:54

Lisää sähköäänestysdokumentteja

Sähköäänestystilanteen vuoksi blogiani seuraaville pointteri: Effin blogissa on väliaikatiedote. Turun yliopiston auditoinnin pitäisi ministeriön alkuperäisten tietojen mukaan valmistua nyt kevään aikana, joten aihe akutisoitunee lähitulevaisuudessa.

2008-04-25 14:19

Kirjakatsaus

Tänään julkaistaan pari kiinnostavan kuuloista kirjaa: Paratiisi vai panoptikon? ja Silmät auki! Tietoyhteiskunnan uhat ja mahdollisuudet. En ole kumpaakaan nähnyt, mutta pitänee lisätä lukulistalle.

Kusti polki pöydälle Ross Andersonin klassikon kakkospainoksen: Security Engineering 2nd Edition. Kirja toimii kokonsa puolesta turvallisuutta lisäävänä elementtinä myös maailman kriisialueilla, koska se pysäyttäisi varmaan kevyen käsiaseen luodinkin. Security Engineeringin ykköspainos oli ehkä paras kirja oikeanlaisen hajautettujen järjestelmien turvallisuuden ajattelumallin kasvattamiseen ja pikaisella selailulla kakkospainos näyttää olevan laajalti päivitetty ja sen vuoksi uusintaoston ja -lukemisen arvoinen (ykköspainos on ilmaiseksi ladattavissa em. sivulta). Uudessa kakkospainoksessa ovat mukana esimerkiksi sähköinen äänestys ja DRM.

Lisää kuolleita litistettyjä puita tuli postilaatikkoon kirjan The New School of Information Security muodossa. Kirjan hengen tiivistää ehkä väliotsikko "amatöörit tutkivat salaustiedettä, ammattilaiset taloustiedettä". Tähän liittyy läheisesti ulkoisvaikutuksen käsite, joka on useimmille tutumpi esimerkiksi ympäristönsuojelusta. Ulkoisvaikutuksen käsitettä tietoturvan maailmassa käsittelee tarkemmin Geekonomics, joka saattaisi päästä lukulistalleni. Olin jo tuominnut sen kadotukseen kannen ja kammottavan ysärinimen perusteella, mutta sitten kuuntelin kirjoittajan haastattelun (osat 1, 2 ja 3) ja annan ehkä armon käydä oikeudesta.

2007-12-07 11:43

Nauloja sähköäänestyksen arkkuun

Jyrki Kasvi kertoo Eduskunnan uudesta äänestysjärjestelmästä, jota ei ole saatu toimimaan vieläkään. Se, että Eduskunnan rajoitettua järjestelmää ei saada toimimaan on huolestuttavaa, sillä Eduskunnan systeemi on usealla mittarilla mitattuna kansanäänestystä helpompi: äänet ovat julkisia (äänestyssalaisuutta ei tarvitse säilyttää), paikallaolijoiden henkilöllisyys on tarkistettu (ainakin uskoisin, että istuntosalin lattialle on melko hankala päästä painamaan jonkun nappulaa, ellei ole kansanedustaja) ja ääniäkin annetaan alle kaksisataa. Kuinka vaikeaa sitten olisi saada toimimaan sähköinen kansanäänestysjärjestelmä, joka olisi vielä oikeastikin luotettava eikä vain "toimisi"?

Lähetin vähän aikaa sitten Oikeusministeriöön pyynnön saada määrittely- ja suunnitteludokumentteja suomalaisesta tekeillä olevasta järjestelmästä - katsotaan, millaisia sieltä tulee. Sillä välin hieman nopeaa tilannekatsausta muualle maailmaan.

Kaliforniassa on analysoitu äänestysjärjestelmien turvallisuutta. Tuloksissa havaitaan muun muassa uhka-analyysien ja testausspeksien puuttumista ja että suunnittelussa ei ole otettu huomioon esimerkiksi arkkitehtuurin lohkomista erilaisiin luottamusalueisiin vaan kaikki koodi on turvallisuusmielessä yhtä herkkää. Lähdekoodin määrä verrattuna toiminnallisuuteen on myös huolestuttavan suuri, joka voi viitata valmiiden (tuntemattoman turvatason) komponenttien uudelleenkäyttöön tai pahimmassa tapauksessa vaikkapa cargo cult -ohjelmointiin.

Oikeusministeriölle lähettämäni pyyntö kattaa nimenomaan uhka-analyysit ja suunnittelu- ja arkkitehtuuridokumentit.

Briteissä taas sikäläisen vaaleja hoitavan tahon Electoral Commissionin toimesta oli todettu, että

Sähköinen äänestäminen ei vielä ole kypsää tekniikkaa ja siihen ei voi luottaa riittävästi, jotta se voitaisiin ottaa käyttöön. (Oma käännös)

Sanoisiko joku virkamies tämän ääneen Suomessakin? Joohan?

Earlier 9 entries