Nollapäivähaavoittuvuudet ovat aina keskuudessamme

Maanpuolustustiedotuksen suunnittelukunnan tutkimus kertoo, että kyberuhkat huolestuttavat 79 prosenttia suomalaisista. Tieto jäi kohun varjoon, joka johtui siitä, että saman raportin mukaan maanpuolustustahto on laskenut jyrkästi ja virhemarginaalit ylittävällä volyymillä.
Ehkä tämä innon puute johtuu siitä, että sodat ovat nyt muuta kuin täyspakkaus selässä soilla rypemistä. Hybridisodankäynnissä noilla kaikkein perinteisimmillä sotataidoilla on enää lähinnä marginaalinen merkitys. Esimerkiksi sissisota kaupungeissa on jotain, johon itse en lähettäisi puolen vuoden kestoista puolivillaista sotataitokoulutusta saanutta, sattumanvaraisesti koulutukseen valittua siviilihenkilöä.
Kyberuhkat huolestuttavat oikeutetusti vajaata 80 prosenttia suomalaisista. Lähes kaikki me olemme esimerkiksi erilaisten nollapäivähaavoittuvuuksien riistaa. Nollapäivähaavoittuvuusnimitys tulee siitä, montako päivää turva-aukon paljastumisen jälkeen haavoittuvuutta hyödyntävä hyväksikäyttökoodi julkaistaan. Microsoft on tässä ehdolla maailmanmestariksi.
Apple ja Google ovat ilmoittaneet lukuisista tietoturva-aukoista ohjelman kehittäjälle Microsoftissa. Tiedot yleensä julkaistaan vasta, kun paikkaus tai päivitys on saatavilla mutta joskus speksi on pantu yleiseen jakeluun. Osassa tapauksista taas ohjelman kehittäjä ei ole hyväksynyt näkemystä haavoittuvuudesta. Nollapäiväbugin asemesta aukko on ollut ”feature”, eli ominaisuus. Tätä on tapahtunut Microsoftin voimain päivinä. Koodarin kuuluu julkistaa löytämänsä havainto haavoittuvuudesta samaan aikaan, kun kriittinen korjaus on jaossa. Silloinkin on voinut käydä niin, että murtokoodi on jo julkaistu. Bittimaailmassa saastan leviäminen lasketaan sekunneissa.
Vauhti ja hektinen meno tietotekniikan toimintakentässä vain pahenevat. Datapilvien takaovia murtava kybersorkkarauta leviää bottien kautta. Se kolkuttaa silmänräpäyksessä miljoonaa kohdetta. Nettiselain on helppo saalis, esimerkiksi Firefox-versiot Windows-käyttöjärjestelmissä, jos haavoittuvuus sallii JavaScript-koodin ajamisen, ja usein se niin tekee. Muuten tuon ideologiselta näyttäneen taistelun tähtäin oli Tor-verkko, jonka turvaaman viestintäsalaisuuden murtaminen on syystä tai toisesta on ollut yksi hyökkäilyn suosikkikohde.
Adoben Flash Playerista puolestaan on löytynyt jo niin monta vakavaa nollapäivähaavoittuvuutta, ettei sitä enää asenneta oletuksena Androidiin. Silti monet lipputilauspalvelut, kuten VR, yhä toimivat Adoben Flash Playerin kautta. Tietoturvaosaaminen ja käytettävyys on ovat VR:n nettipalvelussa sitä tasoa, että se on auttanut kalibroimaan tuollaisten eri lippupalvelujen laatua, siten että VR-tasoa on vaikea alittaa.
Äskettäin Objective by the Sea -tietoturvakonferenssi käsitteli pirullisia haavoittuvuuksia muun muassa iskua Applen MacOS Mojaven käyttäjän tietosuojasta informoiviin käytäntöihin. Uuden EU:n tietosuojasetuksen mukaiseen tietosuojailmoitukseen oli rikollisesti yhdistetty ulkopuolinen pääsy useisiin sovelluksiin.
Applen uusi tietosuojakäytäntö siis vaatii lupaa käyttäjältä, jotta tämä voi päästä käsiksi yksityisiin tietoihinsa, kuten viestiarkistoon ja yhteystietoihin. Manipuloituna nollapäivähaavoittuvuus mahdollisti sivullisen tunkeutujan pääsyn näihin tietoihin ilman tunnistautumista. On kysytty, onko rikollisilla mitään moraalia? Ei välttämättä, on helpointa ja nähtävästi myös tuottoisinta iskeä siellä, missä rikosta vähiten osataan odottaa.
