Osallistuin COSSin, Tietotekniikan liiton ja Tietoturva ry:n järjestämään Avoin lähdekoodi ja tietoturva -seminaariin Espoossa, 3.11. Nixu Oy tarjosi ystävällisesti tilat tilaisuudelle ja ilmaisen lounaankin. Tilaisuus oli tarkoitettu COSSin ja Tietoturva ry:n jäsenille.
Pääosa esityksistä oli todella hyviä ja yleisökin aktivoitui välillä keskustelemaan. Kirjoitin Qaikun #seminaarikannu-kanavalle liveraporttia esityksistä.
Puhujat olivat herttaisen yhtä mieltä siitä, että tietoturvaa ei voi parantaa salailulla, kuten ohjelmiston lähdekoodin salaamisella. Security through obscurity ei siis toimi. Lähdekoodin avoimuus nähtiin useissa yhteyksissä tietoturvaa parantavana tekijänä. Esim. sovelluksen toimivuus voidaan todentaa sataprosenttisesti vain käymällä sen lähdekoodi läpi.
En ole varma tulevatko esitysdiat julkiseen jakoon (*), mutta mikäli tulevat, niin kerron siitä täällä ja yllä mainitussa Qaiku-säikeessä. Osa niistä tarjoaa varmasti ajateltavaa, vaikkei paikalle olisi päässytkään.
(*) Esitykset ovat saatavilla vain osallistujille.
Voima-lehti raportoi kaakkoiskiinalaisen Nanchnagin kultuuriviraston määränneen kaupungin noin 600 internet-kahvilaa vaihtamaan koneidensa Windows XP -käyttöjärjestelmän kiinalaisvalmisteiseen Red Flag Linuxiin.
Aivan näin laajasta määräyksestä ei kuitenkaan välttämättä ole kyse, sillä Wikipedian mukaan ilmoitus oli suunnattu palvelinkoneisiin eikä työpöytäkoneisiin, joita käytetään paljon pelaamiseen.
Yhtä kaikki, tässä voidaan pohtia taustoja Red Flag Linuxin käytölle Kiinassa. Virallisen selityksen mukaan Nanchnagissa on tarkoitus karsia Windowsien piraattiversioiden käyttöä. Muita syitä ovat varmastikin tietoturva ja kansalaisten valvominen.
Tietoturvamielessä avoimen lähdekoodin järjestelmät mahdollistavat myös kaikkien dokumentoimattomien toiminnallisuuksien löytämisen.
Tietoturva voidaan määritellä toiminnallisuustarkistuksen osajoukoksi:
- Toiminnallisuustarkistus: varmistetaan, että järjestelmä tekee, mitä on määritelty
- Tietoturva: varmistetaan, että järjestelmä tekee, mitä on määritelty, eikä mitään muuta
Suljettujen järjestelmien kohdalla vastaava edellyttäisi lähdekoodin luovuttamista asiakkaalle tarkistusta varten ja koodin kääntämistä asiakkaan koneella. Lisäksi tietysti kaikkien järjestelmään toimitettavien päivityksien kanssa tulisi toimia samoin.
Voima-lehden mukaan aiemmin viime vuonna kiinalaiset nettikahvilat määrättiin asentamaan koneisiinsa tunnistinlaitteet, jotka mahdollistavat verkkoselailun ainoastaan kiinalaisen henkilökortin avulla. Linux-asiantuntija Kai Puolamäki kommentoi Voimassa Linuxin avoimuuden houkuttelevuutta Kiinalle:
Windows on suljettu järjestelmä. Ehkäpä Kiinassa on ajateltu, että Linuxiin voi olla helpompi ujuttaa ikään kuin jotain ylimääräistä, jolla koneen ja verkon käyttöä voidaan tarkkailla.
Kiinassa ei välttämättä olla niin tarkkoja koodimuokkausten julkaisemisessa Red Hat Linuxia levitettäessä, jolloin nämä ylimääräiset toiminnallisuudet eivät kovin helposti paljastu. Mikäli näin toimitaan, niin samalla rikotaan tuotteen lisenssiehtoja, mikä on tietysti väärin.
Google on julkaissut sisäisessä käytössään olleen ratproxy-tietoturvatyökalun avoimella lähdekoodilla. Työkalu on tehty web-sovellusten tietoturvan arviointiin.
This utility, developed by our information security engineering team, is designed to transparently analyze legitimate, browser-driven interactions with a tested web property and automatically pinpoint, annotate, and prioritize potential flaws or areas of concern.
Ohjelma etsii web-sovelluksen lähdekoodista potentiaalisia tietoturvaongelmia ja ilmoittaa niistä.
Detects and prioritizes broad classes of security problems, such as dynamic cross-site trust model considerations, script inclusion issues, content serving problems, insufficient XSRF and XSS defenses, and much more.
Ratproxy on lisensoitu Apache License 2.0 -lisenssillä.
