Merkittävä tietoturvayhtiökään ei koe ajan olevan sopiva sille, että tietynlaisista sivustahyökkäyksistä kuten näytön rekonstruoitavuudesta, sekä muista keinoista selvittää miten ihminen toimii jossain huoneistossa, puhuttaisiin yleisesti.

Onhan niillä tietoturvaohjelmistoilla jonkinlaiset hyötynsä, mitäpä sitä kiistämään

Kun on erittäin hyvin tunnettu tietoturvaohjelmistoja ja -palveluja myyvä ja kehittävä yritys, voinee sen rakenteellisen uudelleenorganisoitumisen seurauksena tarjolle asettuvien tuotteiden ja palveluiden olettaa varmasti olevan kilpailukykykyisiä kilpailijoihin nähden. Varsinkaan uusimpien hyökkäysvektoreiden huomioimisessa sillä ei voine ajatella olevan varaa olla huonompi tai vähäisempi kuin muut toimijat, koska yrityspalveluiden ostajat ovat monesti hyvin ostopäätökseensä valmistautuneita ja he tietävät, mitä markkinoilla on tarjolla.

Jargonia kuten "koneoppimista hyödyntävä uhka-analyysi", "nollapäivähyökkäysten tunnistus heurestiikalla ja käyttäytymisanalyytikalla" ja "suojaus toteutetaan monikerroksisena ratkaisuna hyödyntäen edistyneitä tekniikoita" löytyy mainitunlaisen uudistuksen tehneen, F-Securesta erkaantuneen WithSecuren verkkosivuilta, missä muutoksen tarkoituksena on ollut erotella kuluttajatuotteet ns. yritystuotteista. Ensinmainitut jäävätkin uudistuksissa suhteellisen vaisuun asemaan tavanomaisen kuuloisine nettiselaamisen turvaamisine, henkilökohtaisine VPN:nine, Wi-Fi -suojauksine ym. verrattuna servereille, työkoneille, verkoille ym. tarkoitettuihin hienostuneempiin ratkaisuihin ja konsultointimahdollisuuksiin.

Kuten nimityskin antaa vähän ymmärtää, ei nollapäivähyökkäykseen välttämättä olla erityisemmin varauduttu siinä ohjelmistossa tai niissä laitteissa, joihin se kohdistuu, joten jos yritys on jo ehtinyt olemaan jonkin aikaa toiminnassa, on hyökkäysvektoreita ketjuttamalla voitu jo aiheuttaa sen riskin toteutuminen, mihin ei uskottu siinä vaiheessa, kun yrityksessä oltiin sitä mieltä, että tietotekniikan osalta yritys on käyttövalmis. Tämän vuoksi nämä koneoppimiset ja käyttäytymisanalyysit ovat sinänsä välttämättömiä, sillä ei kukaan tietoturvavastaava jaksaisi käydä jatkuvasti läpi kaikkea sitä, minkä ne ottavat huomioon laitteistojen, verkon ja ohjelmistojen toiminnassa.

Sivustahyökkäykset (eng. side-channel attacks) eivät ole helppoa mainittavaa

Virustorjuntaohjelmia, rootkit-poistajia ym. tavallisen käyttäjän helpohkosti netistä käyttöön hankittavia kokeilleena, ei luottamus niiden riittävään toimivuuteen ole päässyt kehittymään paljon oraalla olevuutta edemmäksi, sillä luvatonta seurantaa ja ohjelmistojen toiminnan käytönaikaista muokkaamista tapahtuu niiden jälkeen siinä missä ennenkin, eivätkä ne edes löydä mitään mainitsemisen arvoista. Uusimman Windows 11:kin asennuksen suoritti varmuudeksi vasta ostetulle SSD-levylle puhtaana asennuksena, reitittimen ja Microsoftin käyttäjätunnuksien salasanat vaihtaneena, mutta niinpä vaan kävi, että antaessaan edelliseen käyttöjärjestelmän versioon latautua vielä viimeisimmät päivitykset, ne saatiin loppuun poikkeuksellisen viiveilyn vuoksi vasta tasan klo 11:11.

Tietenkään käyttöjärjestelmän päivittäminen ja samalla väitetysti entistä vahvemman perussuojauksen hyökkäyksiä ym. vastaan saaneena, ei hyödyttänyt juuri minkään vertaa siihen, voivatko muut tahot selvittää reaaliajassa, missä kohdin mikäkin tietokonepeli on menossa, mitä pelissä tapahtuu, mitä tehdään pelaamisen jälkeen, mitä katselleen YouTubesta, mitä tiedostoja käsitellään ohjelmoidessa, keneen otetaan yhteyttä sähköpostilla ym. Siihen Windowsin päivitys on voinutkin vaikuttaa, että ylimääräisiä käyttäjäoikeuksia ei ehkä ole niin helppo hankkia ja käyttöjärjestelmää "lähelle" ei päästä netin kautta niin monella tavoin eli jos luvaton täydet käyttäoikeudet mahdollistava etäkontrollointi ei enää olisikaan mahdollista, niin sivustahyökkäykset (eng. side-channel attacks) voisivat silti olla mahdollisia ja siitä juuri olisikin kyse eli erityisesti monitorille päätyvän kuvadatan kaappaamisesta.

WithSecurekaan, kuten monet muutkaan tietoturvayhtiöt, ei revittele tietämyksellään tällaisistä sivustahyökkäyksistä, joista näyttökuvan rekonstruoiminen toisaalla olisi eräs sovellutus, vaikka yhtiöllä tietämystä tästä yläkäsitteestä entuudestaan onkin. Huolestuttavana monen kannalta voisi pitää sitä, että kun jostain ei puhuta ja annetaan ymmärtää, että "nämä riittävät", voi ihmisille ja yrityksille jäädä vääristynyt luulo siitä, mitä turvallisuus oikeastaan tarkoittaakaan. Jossain podcastissa tai Black Hat -konferenssissa saatetaan ottaa tällaista puheeksi ja laitteistojen suoranaisista toteutuksen/suunnittelun virheistä saattaa jotain tietoa kuplia ihan suomalaisiin sanomalehtiin asti, kun Ilta-Sanomista taas pyydetään Mikko Hyppöseltä jotain kommenttia vaikkapa joissakin printtereissä ilmenneeseen tietoturvaongelmaan, mutta eipä siinä paljon heurestiikat ym. hyödytä, jos toisaalla luvattomasti hyödynnettävää dataa voidaan "kerätä ilmasta" eli esim. monitorin johtojen säteilyvuodoista tai huollossa olleen laitteen vahvempana etäämmäs karkaavista signaaleista.

Luulojen poikkeuttamista tuoteselosteessa mainitulla tuotteen kyvykkyydellä

Se saattaisi auttaa tietoturvaongelman aiheuttajan tunnistamisessa, jos vakoilutekniikka vaatisi toimiakseen esim. laitteen kuten älypuhelimen mikropiirin suunnitteluvian jatkuvaa hyödyntämistä, jolloin mobiililaitteella oleva, käyttäjää tietoturvauhkilta suojaava sovellus voisi käyttäytymisanalytiikallaan ym. tajuta, että "nyt on jotain selkeästi epäilyttävää", mutta eipä WithSecurekaan tällaista turvaominaisuutta ole edes listannut kuin Windows- ja Mac-koneita varten vain. Itseasiassa WithSecure Elements Mobile Protection kikkailee sanan "real-time" käytössä siten, että käyttäjä saattaa hyvinkin luulla, että se tekee jatkuvasti jotain laitteen toiminnan seurantaa jollain hienoisella tavalla, mutta tämä tosiaikaisuus tarkoittaa itseasiassa pilvipohjaisen Security Cloudin päivittymistä siinä määrin eri laitteilta kertyvän tiedon ja tehdyn analyysin avulla, että se ikään kuin oikeuttaa ymppäämään sanan "real-time" mukaan tuoteselosteeseen: "We gather threat intelligence from tens of millions client nodes, building a real-time picture of the global threat situation." Eli asennettavaksi aiotut sovellukset kyllä analysoidaan heti siinä kohdin, kun asennusta yritetään ja käynnistymistä yrittävät sovellukset tarkistettaneen ilmeisesti myös, mutta ettäkö jatkuvasti jotain valvontaa? Laitteen akkuhan siinä vain kuluisi hyvinkin nopeaan. Sovelluksen Androidille tarkoitetuissakin ohjeissa sanotaan, että "When the Antivirus option is on, the app automatically scans the device daily and every time a new app is installed." eli "ihan tavallista" virustorjuntaa. Siltikin WithSecure Elements Mobile Protection -tuotteen tuoteselosteessa on pyritty luomaan aika paljonkin enempään pystyvää vaikutelmaa heti ensisanoina: "security client uses real-time threat intelligence provided by WithSecure's Security Cloud, ensuring that all new or emerging threats are identified, analyzed, and prevented within minutes". Voihan se tavallaan olla ihan käyttökelpoistakin ainakin joissakin rajoissa, että vaikkapa sitten kerran päivää jotain skannaillaan laitteella, mutta eipä oikein sivustahyökkäyksiä pidättele.

Päätelaitteen näytön rekonstruointi toisaalla ja huoneistossa eleilemisen toisaalle tietoon päätyminen

Sinänsä jonkinlaiselle erikseen räätälöidylle, ohjelmistopohjaiselle tarkistus- ja valvontatyökalulle voisi olla käyttöä sivustahyökkäyksiä varten, mutta ainakaan kukaan suomalaisista tietoturvayhtiöistä ei ole laittanut sellaista esimerkiksi erikseen tehtävästä ohjelmointityöstä vakioitujen konsultointipalveluidensa oheen. Kertaalleen tehtynä sellaista voisi varmaan myydä erikseenkin, jolloin sellaisesta voisivat hyötyä vaikkapa etätyöntekijät, joiden toimeksiantaja tai pomo ei ole ollut erityisen kiinnostunut etätyöntekijän tietoturvasta muutoin kuin vaikkapa jonnekin palvelimelle otettujen yhteyksien suojauksien osalta. Tai voisivathan sellaisesta hyötyä vaikkapa ihan opiskelijat, jotka vain opiskelevat ja käyttävät nettiä kaikenlaisiin tarkoituksiin, eivätkä haluaisi luvattoman tahojen selvittelevän reaaliajassa, mitä heidän päätelaitteensa ruudulla näkyy. Toisaalta, jos tällainen ei sitten kuitenkaan edes vaadi kuin yhdenlaisen sivustahyökkäyksen käyttöä eli ruudulle piirtyvän rekonstruoimista jossain toisaalla laitesäteilystä kuvadataa muodostellen, sittenhän ne erikseen tehtävät ohjelmointityötkin voi unohtaa.

Merkityksettömyyttä tällaisten erillisten turvasovellusten käyttöön aiheuttaa myös se, mistä on jo Vohkare nro 9:ssä kerrottukin eli esim. kädenliikkeet eivät jää vain huoneistoon, jossa ne suoritettiin, vaan vaikkapa näppäimistöllä kirjoittaminen voidaan mallintaa analysoimalla sitä, miten esim. WiFi-verkon säteily muuttuu, kun ihminen tekee jotain sen ulottuvilla ollessaan. Samaisesta Teknisellä tarkkailulla rakennuksiin sisälle -kirjoituksesta löytyy myös lisäselvitystä edellä mainitusta päätelaitteen toisaalla rekonstruoitavuudesta.

Eli mitä tässä tultiin tajunneeksi? Kenties se, että merkittävä tietoturvayhtiökään ei koe ajan olevan sopiva sille, että tietynlaisista sivustahyökkäyksistä kuten näytön rekonstruoitavuudesta, sekä muista keinoista selvittää miten ihminen toimii jossain huoneistossa, puhuttaisiin yleisesti. Tämä voi olla monellakin tavoin ongelma, kun kyse on kuitenkin yrityksestä, jonka tunnettua edustajaa haeskellaan aina sanomaan jotain, kun tietoturvaan tai kyberuhkiin liittyen on jotain ajankohtaista ja uutisoimisen arvoista meneillään. Käytännön sovellutuksista häirintään ja jonkinmoiseen vakoiluun liittyen on mm. Vohkare-julkaisuissa aukikirjoitettuna jo paljonkin, mutta olisihan niitä esimerkkejä enemmänkin.


Melkoinen sattumien sarja, että AMK-opinnoista on tullut neljän vuoden pituisia. Mitään tärkeää ei ole jäänyt pois, mitään ei ole tarvinnut lisäillä täytteeksi ja kaikki eri sidosryhmät ovat tyytyväisiä.