perjantai 12. heinäkuuta 2013

Viivyttelevätkö IT-yritykset aukkokorjauksia tahallaan?

Tuoreen uutisen mukaan "Windows-kone kaapattavissa kuvatiedostolla – päivitä heti". Ilmeisesti aukko on ollut tiedossa jo pidemmän aikaa, joten Microsoftin kuhnailuun kyllästynyt Googlen työntekijä päätti itse paljastaa sen.

Näin on käynyt usein ennenkin. Turva-aukot saavat olla ohjelmissa pitkään, ennen kuin valmistajat korjaavat ne. Joskus aiemminkin aukon löytäjä on odotukseen turhautuneena päätynyt itse julkaisemaan tietonsa. Osa myy tietenkin löytönsä suoraan "pimeälle puolelle" hyvää korvausta vastaan. Siellä ovat niin rikolliset kuin haittaohjelmia asiakkailleen tehtailevat yhtiöt. Saattaa olla, että NSA itsekin on ostajien joukossa.

Aukkojen korjaaminen kestää, sillä paikan toimivuus on varmistettava. Viime aikojen Snowden-vuodot asettavat valmistajien kuhnailun ihan uuteen valoon. Entä jos viivyttely onkin tahallista? Ehkä sillä halutaan antaa aikaa NSA:lle, joka hyödyntää aukkoa urkinnassaan.

Salaliittoteoriat ovat kiehtovia, joten niiden kanssa on oltava varovainen. Korjausten viipyminen tuo huonoa julkisuutta valmistajalle ja vähentää asiakkaiden luottamusta. Siksi nopeat korjaukset ovat yhtiön oman edun mukaisia.

Toinen syy hidasteluun voi olla siinä, että jenkkifirmoissa työntekijän suorituksia mitataan jatkuvasti. Uudesta koodista palkitaan, vanhan korjaamisesta ei niinkään. Liiketaloudellisista syistä kannattaa mieluummin tehdä uutta kuin korjata vanhaa -- kunhan vain pidetään huolta siitä, että huonot uutiset eivät räjähdä silmille.

Microsoft on tehnyt läheistä yhteistyötä NSA:n kanssa, vaikka se vielä kuukausi sitten kiisti tällaisen urkinnan mahdollisuuden. Uutiset koskevat Skypeä, Skydrivea ja Hotmailia, mutta ei ole mitään syytä uskoa, etteikö Google olisi joutunut osallistumaan samaan menettelyyn. Tästä kertoo sekin, että brasilialaistietojen mukaan jopa Googlen karttapalvelun käyttäjiä on seurattu.

Nämä uutiset antavat kosolti miettimisen aihetta yritysten tietoturvahenkilöstölle.

2 kommenttia:

  1. Salaliittoteoriaa: Niin, jospa jotkut aukot ovat koodissa ihan tarkoituksellisesti ja oikeat viranomaiset (NSA) ovat tienneetkin niistä jo alun alkaen. Microsoft ei halua korjata yhteistyökumppaninsa eli NSA:n kanssa sovittua aukkoa heti.

    Mutta joo. Epäilemättä uudet "innovaatiot" tuovat koodaajallekin mainetta, harvemmin vanhan koodin ylläpito.

    VastaaPoista
  2. Mielenkiintoiseksi homma menee esimerkiksi Amazonin kanssa, jonka pilvipalveluista löytyy ties kuinka monen palvelun toimintaympäristöt.

    Miksi vakoilla tietoliikennettä jos tiedot saa valmiiksi jäsenneiltyinä toisaalta..

    VastaaPoista