Tietokone tilttaa, ohjelma sammuu alta tai laite reagoi hiiren liikkeisiin tai kosketusnäytön näpyttelyyn. Mitään syytä kummalliseen toimintaan ei löydy, ja turhautuminen hiipii mieleen.
Kuulostaako tutulta?
Kyseessä on todennäköisesti bugi. Koodiin jäänyt virhe, minkä vuoksi ohjelma ei jossain tilanteessa toimi niin kuin sen pitäisi toimia.
Tietoturvatutkija Atte Kettunen Oulun yliopistolta kertoo, että bugit ovat yleisiä. Sellainen löytyy todennäköisesti lähes jokaisesta ohjelmasta.
– Kun ne ovat ihmisten tekemiä, niihin jää aina jotakin virheitä.
Suurin osa bugeista on siinä mielessä harmittomia, ettei niistä aiheudu merkittäviä tietoturvariskejä. Suurin haitta on se, että työskentely keskeytyy.
Firmat palkitsevat bugeista
Joillekin ihmisille bugien metsästäminen ja niistä raportoiminen on osa elämää. Atte Kettunen on yksi heistä. Hän on erikoistunut tietoturvatestaukseen ja testausautomatisointiin. Lisäksi hän toisinaan etsii bugeja myös vapaa-ajallaan.
– Sellaisten ohjelmien kohdalla, joita itse käyttää, rupeaa usein miettimään, missähän kunnossa tämä oikein on. Saatan vapaa-ajalla kokeilla, löytyykö bugeja. Osa ohjelmista on tehty hyvin, mutta joistakin vanhoista ohjelmista voi löytyä huomattava määrä haavoittuvuuksia, jotka ovat vakavia.
Kettunen puhuu paljon haavoittuvuudesta. Hän viittaa sillä bugeihin, jotka heikentävät ohjelmien tietoturvaa. Ne avaavat hyökkääjille väylän ilkivallan tekemiseen.
Monet suuryritykset ovat huomanneet, että tietoturvaan kannattaa satsata. Useilla yrityksellä on niin sanottu ”bounty program”. Se on järjestelmä, jonka avulla palkitaan henkilöitä, jotka ilmoittavat yritykselle niiden tuotteista löytyneistä tietoturvahaavoittuvuuksista.
Osa yrityksistä maksaa haavoittuvuuden löytäjälle selvää rahaa. Joissakin yrityksissä palkinto voi olla jokin tuote tai nimi yrityksen ylläpitämällä ”Hall of Fame”-sivustolla.
Kettunen sanoo, että palkkiosummat vaihtelevat muutamista kympeistä ja satasista tuhansiin dollareihin.
– Googlella summat ovat yleensä 2000 dollarin suuruisia, Mozillalla 3000 dollaria, Kettunen kertoo.
Googlen suurin rahallinen korvaus on 150 000 dollaria.
Palkkiosumman suuruus riippuu siitä, kuinka merkittävästä haavoittuvuudesta on kyse. Jos yrityksellä ei ole ”bounty programia”, bugin löytäjä voi olla myös yhteydessä yrityksen tietoturvatiimiin tai Suomessa Kyberturvallisuuskeskukseen.
Koskettaa laajaa joukkoa
Joillekin ihmisille bugien metsästäminen on täysipäiväinen työ. Heitä on tosin harvassa, sanoo Kettunen. Osa syy on se, että tulot ovat tuolloin varsin epäsäännölliset.
Suurin osa bugien metsästäjistä on Kettusen kaltaisia ihmisiä, joille varsinainen haavoittuvuuksien etsiminen on vapaa-ajan harrastus. Joukossa on paljon nuoria, jotka ovat hakeutumassa alalle töihin.
– Siitä saa CV:hen hyvän maininnan, jos löytää jonkin merkittävän haavoittuvuuden, Kettunen sanoo.
Osa bugeista löydetään automaation ja testauksen avulla. Osa ihmisistä käy itse läpi lähdekoodia.
Kettunen sanoo, että ohjelmien haavoittuvuuksien löytäminen on ollut tärkeä osa alan toimintaa jo 1990-luvulla. Viime vuosina ilmiö on yleistynyt rajusti.
– Nykyään se on saanut huomiota, koska käyttäjäkunta on niin laaja. Yksittäiset haavoittuvuudet saattavat koskettaa satojamiljoonia käyttäjiä.
Kettusen tutkimukseen liittyvässä testauksessa kiinnitetään huomiota erityisesti internet-selaimien tietoturvaan.
– Kaikki käyttävät niitä jatkuvasti. Siksi tietoturvaan kannattaa panostaa.
Selaimien ominaisuudet ovat laajentuneet valtavasti viimeisen viiden vuoden aikana. Samalla niiden tietoturva on Kettusen mukaan parantunut.
Kettunen pitää tärkeänä sitä, että alalle tulevat nuoret hahmottaisivat, mistä tietoturva rakentuu. Miten ohjelmiin hyökätään ja miten niitä puolustetaan?
– Silloin vähenisivät niin sanotut helpot virheet. Helposti löytyvät haavoittuvuudet ovat yleensä raakoja ajatusvirheitä, hän toteaa.
Oulussa järjestetään kesällä OUSPG Open -tapahtuma, johon on tervetulleita kaikki tietoturvasta kiinnostuneet.
