Tietoturvauhat koskevat kaikkia ohjelmistoja käyttöjärjestelmästä tai ohjelmistojärjestelmästä riippumatta. Tietoturvauhat eivät kuitenkaan ole samanlaisia kaikissa tapauksissa eivätkä niiden vaikutukset ole samanlaisia erilaisissa ohjelmistojärjestelmissä tai käyttöjärjestelmissä. Eri ohjelmistojärjestelmiin ohjelmistoja hankitaan tyypillisesti myös erilaisista lähteistä, toisaalta tässä vaikuttavat myös henkilökohtaiset tarpeet ja mieltymyksetkin. Tämä on kirjoitettu Ubuntua varten.
Seuraavassa jäsentelyä eri perspektiiveistä.
Riskeistä ohjelmiston lähteen mukaan:
a) Ubuntun omat ohjelmat Canonicalilta (pakettivarastosta)
Tietoturvauhat ovat minimissään johtuen siitä, että näissä ohjelmissa on Ubuntun kehittäjän oma maine pelissä ja ohjelmat ovat avoimia ja yleisiä. Sikäli näihin salattujen takaporttien tekeminen on vaikeahkoa ja tahattomat virheet pyritään pitämään minimissään.
b) Ubuntu-ohjelmalähteiden muut ohjelmat (pakettivarastosta)
Tietoturvauhat ovat pieniä, koska ohjelmat tulevat tunnetusta lähteestä ja ovat yleensä avoimia ja yleisiä tai melko yleisiä.
c) Ulkopuolisista, tunnetuista paikoista erikseen ladattavat ohjelmat (ei pakettivarastosta)
Tietoturvauhat ovat yleensä pieniä, koska lähteen tunnettavuus omalta osaltaan takaa mainetta. Kestävää ohjelmistomyynti ei myöskään voi tehdä jos maine on huono. Jotkut ilmaisohjelmistot, kuten Abode Reader, ovat kuitenkin varsin huonossa maineessa. Tämä ei ole mielipide, vaan vetoan tässä esim. Suomen Viestintäviraston lausuntoon olla käyttämättä kyseistä ohjelmistoa sen huonon turvallisuuden vuoksi, tämä vain yhtenä esimerkkinä uutisoinnista. Esimerkin opetus oli vain se, että tunnetujenkin ohjelmien kanssa pitää olla tarkkana.
d) Ulkopuolisista, tuntemattomista paikoista erikseen ladattavat ohjelmat (ei pakettivarastosta)
Näiden tietoturvataso voi periaatteessa olla mitä hyvänsä. Lähteen yleinen taso kannattaa tarkistaa.
e) Asennus jonkun Ubuntu-ohjelmiston sisältä
Tällä tarkoitetaan esimerkiksi Firefoxin sisältä asennettavia lisäosia.
Ohjelmiston asennus poikkeaa normaalista asennuksesta sikäli, että asennuksen tekeminen ei edellytä järjestelmänhallintaoikeuksia. Toisaalta asennus ei myöskään ole voimassa järjestelmänlaajuisesti vaan ainoastaan sille käyttäjälle joka asennuksen teki tai ainakin tämä on yleensä idea (tätä on kommentoitu jäljempänä enemmän).
Nämä ohjelmien lisäosat ovat useimmiten kolmannen osapuolen lähteestä ladattuja lisukkeita, koska esim. Firefox varoittaa näiden latauksesta maininnalla "asenna ainoastaan lähteistä jotka tunnet". Näinollen nämä eivät ole Firefoxin omia (tai paremminkin sen tekijän, Mozillan omia). Tämä kolmas osapuoli voi olla lataajan kannalta katsottuna tunnettu tai tuntematon lähde.
Käytännössä tämä tarkoittaa sitä, että näiden kanssa pitää olla tarkkana, mutta tuskin on luotettavan ohjelmistotoimittajan (esimerkkinä Firefox) etujen mukaista pitää listoilla epäluotettavia lisäosia - vaikka vastuusta teoriassa vetäydytäänkin. Hetkellisesti epäluotettavia lisäosia voi olla jakelussa.
Riskeistä ohjelmiston tyypin mukaan:
a) Avoimet ohjelmistot
Takaporttien tekeminen tällaisiin ohjelmiin on vaikeaa, koska lähdekoodi on avointa kaikille. Tästä myös jää avoimen lähdekoodin vuoksi kiinni ennemmin tai myöhemmin. Toisaalta, tilapäistä tietoturvauhkaa ei koodin avoimmuus poista ollenkaan. Koodin avoimmuus voi olla myös näennäistä - eli avoimmuus voi olla huijausta jo sekin.
b) Suljetut ohjelmistot
Tahattomia tietoturvauhkia näissäkään ei ole, jos ohjelmiston tekijä on kiinnostunut maineestaan. Aivan yksinkertaisista tietoturvariskeistä, varsinkin jos ohjelmistot ovat hyvin yleisiä, jää kiinni vaikka koodi on suljettuakin. Näissä voi kuitenkin olla erittäin vaikeasti havaittavia takaportteja, joista kuitenkin voi jäädä kiinnikin ... ehkä joskus myöhemmin.
Riskeistä ohjelmiston käyttötarkoituksen mukaan:
Tässä auttaa oma harkinta.
a) Jos ohjelmistolla on tarkoitus editoida koneella sijaitsevia, paikallisia tekstitiedostoja, ei tietoturvauhka ole kovin todennäköinen.
b) Jos ohjelmistolla on tarkoitus liikkua Internetissä tai ohjelmaa käytetään tyypillisesti Internetistä peräisin olevien tiedostojen kanssa, on tietoturvauhka todellisempi.
c) Jos ohjelmistolla hallitaan rahaliikennettä, on syytä olla ohjelmiston turvallisuuden kanssa jo huomattavasti tarkempi. Kannattaa huomata se, että kaikki WEB-selailuun liittyvät ohjelmat, mukaanlukien selainten, kuten Firefoxin, lisäosat kuuluvat tähän ryhmään.
Riskeistä ohjelmiston asennustavan mukaan:
a) Asennus Ubuntun normaalilla graafisella käyttöliittymällä
Turvallisuus riippuu siitä mitä pakettivarastoja on valittu. Oletuksena ainoastaan turvalliset ovat mukana, mutta tänne on mahdollista lisätä omia, esim. WEBistä saatuja varastoja, joiden turvallisuus on jotakin muuta.
Paikassa Ohjelmalähteet (Software Sources) voi myös tehdä valintoja kuten "pre-released updates" ja "unsupported updates". Näiden turvataso ei välttämättä ole samalla tasolla varsinaisten päivitysten kanssa.
b) Asennus komentoriviltä, pakettivarastosta
Tällä tarkoitetaan asennusta, esim. komennolla "sudo apt-get install paketin_nimi".
Tällainen asennus toimii samojen ohjelmalähteiden varassa kuin graafisen käyttöliittymän asennuskin.
Komentoriviasennuksiin voi usein liittyä ajettavia komentoja ja scriptejä. Jos nämä tulevat epäluotettavasta lähteestä, niin pitää ymmärtää että tällaiset voivat tehdä periaatteessa mitä hyvänsä, esimerkiksi tyhjentävät koko kovalevyn tai pahempaa.
c) Asennus komentoriviltä paikallisesta paketista
Asennuksen turvallisuus riippuu täysin siitä mistä paketti on peräisin.
d) Ohjelmistoihin asennettavat lisäosat.
Lisäosien asennus ei voi aiheuttaa varsinaisia järjestelmänlaajuisia muutoksia, koska asennukselle ei anneta järjestelmänvalvojan oikeuksia.
Lisäosa voi kuitenkin tehdä kaikkea sitä mitä ohjelman alkuperäinen tekijä on tehnyt lisäosalle mahdolliseksi. Näitä mahdollisuuksia ei oikeastaan käyttäjä voi tietää, joten kannattaa lähteä siitä, että lisäosalla voi tehdä kaikkea sitä mitä ohjelmalla itselläänkin. Ei myöskään ole itsestään selvää, etteikö lisäosa vaikuttaisia muidenkin käyttäjien tekemisiin, tavalla tai toisella, vaikka se ei tarkoitus yleensä olisikaan.
Riskeistä ohjelmistojen käytön mukaan:
Ubuntu-järjestelmän ohjelmat eivät lähtökohtaisesti asennu ja konfiguroidu siten, että niiden käyttö olisi mahdollista ulkopuoliselle tunkeutujalle. Jos kuitenkin itse asennat tällaisia ohjelmia, niin turvariskit kasvavat oleellisesti. Tässä tarkoitetaan nyt ohjelmia kuten Web-serverit ja erinäiset yhteysohjelmat (esim. ssh, vnc).
Tällaisilla ohjelmilla on aivan omat turvariskinsä ja niiden konfigurointi pitää tehdä oikein, jotta riskit ovat minimissään. Huolimaton konfigurointi voi kostautua hyvin nopeasti, koska tällaisten ohjelmien hyödyntäminen lienee melko korkealla prioriteetillä crackereiden käyttämissä menetelmissä.
Aivan yleisenä piirteenä kannattanee huomata se, että kyse ei ole siitä, että "miksi kukaan tulisi juuri minun koneelleni?". Kyse on siitä, että turva-aukkoja tai huonoja salasanoja metsästetään ympäri nettiä ja tunkeudutaan niille koneille, joille helpoiten pääsee - mahdollisesti valjastaen näin jopa miljoonia koneita johonkin nettihyökkäykseen tai vaikkapa SPAMin levittämiseen.
Yhteenveto:
Edellä mainitut seikat muodostavat matriisin ja tietoturvauhkaa kannattaa arvioida näiden kaikkien asioiden summavaikutuksen kautta.
Tietoturvauhkia kannattaa arvioida myös todellisten vaihtoehtojen kautta. Esimerkiksi nettimaksujen turvallisuudesta uutisoidaan näyttävästi, mutta kannattaa miettiä kumpi on oikeasti turvallisempaa, kenellekin:
a) Nettimaksu luottokortilla Tallinnalaiseen kauppaan ja tavaran toimitus postissa,
b) Käteisen rahan mukaanottaminen Tallinnan matkalle, maksun suorittaminen kassalla Tallinnassa ja tavaran omatoiminen kuljettaminen Suomeen.
