Tietokone-lehti 5/2004

Ilmaiset tietoturvalupaukset

Linux etenee pc-markkinoilla tasaisen varmasti, vaikkei se vielä pystykään uhkaamaan Microsoftin asemaa käyttäjien työpöydillä. Linux-mieliset aktivistit ovat ihmeissään: mikseivät organisaatiot vaihda turvalliseen ja ilmaiseen Linuxiin, vaan kituuttavat tietoturvan ahdistamina Microsoftin ikeen alla?

Talousmatematiikka ei aina käy yksiin tietotekniikan kanssa. Käyttöjärjestelmän hankintahinnalla ei ole paljon merkitystä, koska laajamittaisen päivityksen kustannukset tulevat ihan muualta.

Kun amerikkalainen Yankee Group kyseli vaihtoaikeita 300 suurelta yritykseltä, vastaajista 90 prosenttia katsoi siirtymisen Windowsista Linuxiin olevan niin työlästä ja kallista, ettei se kannata. Yritysten mielestä vaihto Windows-versiosta toiseen tulee jopa neljä kertaa halvemmaksi kuin siirtyminen Linuxiin.

Ja vielä paljon halvemmalla pääsee, kun ei vaihda edes versiota, vaan pysyttäytyy mahdollisimman pitkään nykyisellä tasolla. Se onkin monen yrityksen mielestä houkuttelevin strategia näinä taloudellisen epävarmuuden aikoina.

Kaikki eivät ole vilpittömiä

Halvan hinnan ohella Linuxin paras myyntiargumentti on sen tietoturva. Fanien mielestä Linuxissa ei ole viruksia ja avoin koodi takaa, että havaitut tietoturvaongelmat korjataan välittömästi.

Avoin lähdekoodi antaa yritykselle turvallisen selkänojan tulevaisuuteen, sillä jos ohjelmaa tarvitsee myöhemmin muokata tai laajentaa, työn voi ostaa monelta eri toimittajalta. Avoin koodi antaa yritykselle myös avoimet kädet.

Tietoturvamielessä avoin lähdekoodi on kuitenkin kaksiteräinen miekka. Siksi Linux-lupauksiin on syytä suhtautua yhtä kriittisesti kuin Microsoftin mainoslauseisiin.

Lupauksen mukaan "kuka tahansa voi havaita lähdekoodissa olevat ongelmat ja korjata ne". Käytännössä näin ei kuitenkaan tapahdu ­ vain aniharvalla organisaatiolla on aikaa tai kykyä tutkia, mitä miljoonat koodirivit oikeasti tekevät. Viimeisen parin vuoden aikana on ollut useita tapauksia, joissa netistä ladattuihin avoimen lähdekoodin ohjelmiin on ujutettu takaovia.

Avoin koodi helpottaa kyllä turva-aukkojen löytämistä, mutta löytäjästä riippuu, käyttääkö hän tietoa hyökkäyksiin vai korjaako sen. Esimerkiksi viime syksynä löytynyt open ssh -aukko oli krakkerien tiedossa kuukausia, ennen kuin joku sai sen korjattua.

Korjauksesta on vielä pitkä matka päivitysten jakeluun ja asentamiseen. Lähes kaikki tietomurrot niin Linux- kuin Windows-maailmassakin ovat onnistuneet siksi, että krakkerit ovat käyttäneet hyvin tunnettua aukkoa, johon on jo pitkään ollut saatavilla korjaus. Kukaan ei vain ollut asentanut sitä.

Käyttäjä on heikoin lenkki

Toinen Linux-myytti väittää, että avoin koodi olisi aina laadukkaampaa kuin kaupallisen yhtiön suljettu koodi, koska tekijät haluavat ansaita verkkoyhteisön kunnioitusta.

Perustelu ontuu. Kaupallisen yrityksen palkkaama ohjelmoija menettää bonuksensa ja työpaikkansa, jos hänen kirjoittamansa koodi on huonoa. Mitä menetettävää on parikymppisellä opiskelijalla, joka näkyy verkkoon kenties pelkän koodinimen tai sähköpostiosoitteen välityksellä?

Ainakaan hänellä ei ole pienintäkään taloudellista kannustinta, sillä avoimen koodin ohjelmat ovat yleensä ilmaisia.

Kolmannen uskomuksen mukaan Linuxissa ei ole ­ eikä tule koskaan olemaankaan ­ viruksia, koska Linuxin turvallisempi rakenne estää niiden toiminnan. Tällainen väite on puppua.

Muutamaa poikkeusta lukuun ottamatta kaikki viime aikaiset virukset ovat levinneet käyttäjän myötävaikutuksella, ei käyttöjärjestelmän aukkoja hyödyntämällä. Virusten kirjoittajat tietävät hyvin, että käyttäjä on ketjun heikoin lenkki. Houkuttelemalla vastaanottaja avaamaan viesti ja aktivoimaan siinä piilevä ohjelmatiedosto, virus leviää missä tahansa käyttöjärjestelmässä.

Toistaiseksi Linux-viruksia on nähty vain muutamia, eikä mikään niistä ole ollut vakava uhka tietoturvalle. On kuitenkin vain ajan kysymys, milloin Linux on levinnyt niin laajalle, että virusten kirjoittajien mielenkiinto herää.

Linux-käyttäjä ymmärtää varoa

Tähän asti Linuxia ovat suojanneet viruksilta lähinnä kaksi tekijää: liitetiedostojen avaaminen on tehty vaikeammaksi kuin Windowsissa, eikä yhdelläkään sähköpostiohjelmalla ole samanlaista markkinaosuutta kuin on Microsoftin Outlookilla eri muodoissaan.

On kolmaskin tekijä: keskiverto Linux-käyttäjä on huomattavasti asiantuntevampi kuin keskiverto Windows-käyttäjä ja osaa sen vuoksi turvata koneensa paremmin.

Sillä, että Linux-käyttäjällä on yleensä vain rajoitetut oikeudet omaan koneeseensa, ei ole merkitystä sähköpostivirusten kannalta. Takana ovat ajat, jolloin virukset levisivät tiedostoina levyltä toiselle. Niin kauan kuin käyttäjällä on oikeus avata sähköpostiaan ja käynnistää ohjelmia, virusvaara koskee myös häntä.

Oikea tietoturva syntyy tosiasioiden tunnustamisesta ja terveestä harkinnasta. Automaattisesti turvallista ympäristöä kukaan ei ole vielä keksinyt.

<takaisin