Tulostusversio

3/2008

Profiili: OUSPG

Teksti: Oulu University Secure Programming Group

Ohjelmistoissa on yhä enemmän haavoittuvuuksia eli tietoturvallisuutta uhkaavia ominaisuuksia, puutteita ja vikoja. Tutkimusryhmä Oulu University Secure Programming Group (OUSPG) on jo yli 12 vuotta etsinyt keinoja ohjelmistojen tietoturvaongelmien ehkäisemiseksi.

Oulu University Secure Programming Group (OUSPG) on Oulun yliopistossa toimiva tutkimusryhmä, joka keskittyy toteutustason tietoturvaongelmiin. Ryhmän tutkimus on saanut kansainvälistä huomiota ja poikinut vuosikymmenen aikana jo kaksi menestyvää spin-off-yritystä.

OUSPG syntyi vuonna 1996 Oulun yliopiston sähkö- ja tietotekniikan osastolla. Löysimme useita samankaltaisia vikoja eri ohjelmistoista, mutta valmistajille tehdyt haavoittuvuusraportit eivät parantaneet ohjelmien turvallisuutta. Tästä heräsi ajatus tietoturva-asioiden tutkimisesta systemaattisemmin. Ryhmän vastuulliseksi johtajaksi tuli professori Juha Röning.

Huomio protokolliin

Tutkimusryhmällämme on kaksi päätutkimuskohdetta: ohjelmistojen suorituksia tarkasteleva mustalaatikkotestaus (PROTOS-projekti) ja tietoverkkojen monimutkaisuuden hallinta (FRONTIER-projekti).

Ensimmäinen PROTOS-hanke toteutettiin vuosituhannen vaihteessa. Siinä kehitimme erilaisia menetelmiä ohjelmien vikojen löytämiseksi. Hankkeessa keskityttiin protokolliin, jotka ohjaavat viestintää ohjelmiston eri osien tai ohjelmiston ja käyttäjän välillä.

Hankkeen suurimpana saavutuksena pidämme paljon kansainvälistäkin julkisuutta saanutta testimateriaalia, jolla etsitään vikoja internet-liikennöintiä ohjaavasta SNMP-protokollasta.

Samaan aikaan perustettu spin-off-yritys alkoi kehittää kaupallisia tuotteita PROTOS-tutkimuksen pohjalta.

Päättelyllä ohjelmointivirheiden kimppuun

PROTOS GENOME -projekti jatkaa siitä, mihin aikaisemmassa tutkimuksessamme jäimme. Siinä missä ensimmäisessä PROTOS-hankkeessa haavoittuvuuksia etsittiin käyttämällä eri protokollien määrittelyjä, PROTOS GENOME -projektissa käytetään erilaisia rakenteenpäättelyalgoritmeja ohjelmointivirheiden löytämiseksi.

PROTOS GENOME -projektin näyttävin saavutus lienee arkisto- ja pakkaustoteutusten testaamiseen tarkoitettu materiaali.

Pakkaus- ja arkistoformaatteja käytetään muun muassa tiedon tiivistämiseen sekä tiedostojen ja hakemistorakenteiden arkistointiin. Tämän vuoden maaliskuussa julkaistun materiaalin perusteella pakkaus- ja arkistoformaattien toteutuksista löydettiin lukuisia haavoittuvuuksia.

Monimutkaisuus lisää haavoittuvuutta

Toinen OUSPG:n tutkimussuuntaus koskee tietoverkkojen monimutkaisuuden hallintaa. Tietoverkoista on tullut yhä monimutkaisempia, ja mitä monimutkaisempi järjestelmä, sitä todennäköisemmin siinä on haavoittuvuuksia.

FRONTIER-hankkeissa ryhmä on tutkinut menetelmiä, joilla monimutkaisten tietoliikenneverkkojen toimintaa voidaan ymmärtää ja hallita syy-seuraussuhteiden avulla.

FRONTIER-hankkeissa kehitettyjä menetelmiä on sovellettu erityisesti langattomissa verkoissa. Hankkeen pohjalta on perustettu yritys, joka on erikoistunut tarjoamaan ratkaisuja monimutkaisen verkkotiedon ymmärtämiseen.

Tällä hetkellä OUSPG on mukana kansainvälisessä €-Confidential-tutkimushankkeessa, jossa kehitetään langattomiin verkkoihin soveltuvaa tietoturva-alustaa. Sen avulla kriittiset operaatiot, kuten salaukset ja henkilökohtaisten tietojen käsittely, ovat turvallisempia suorittaa.

OUSPG tutkii projektissa esiintyvien protokollien, laitteiden ja toimijoiden välisiä riippuvuussuhteita ja näiden muodostamia tietoturvauhkia. Tutkimuksen aikana kehitetään myös menetelmiä, joita voidaan käyttää tulevaisuudessa erilaisten riippuvuussuhteiden tutkimiseen. €-Confidential-projekti päättyy tämän vuoden joulukuussa.

Haavoittuvuuskoordinointi välttämätöntä

Lisäksi pohdimme, mikä on paras tapa toteuttaa haavoittuvuuskoordinointi. Aikaisemmin raportoimme itse löytämistämme haavoittuvuuksista suoraan valmistajille. Tämä kävi kuitenkin hyvin äkkiä erittäin työlääksi, koska rikkinäisiä ohjelmia oli niin paljon. Esimerkiksi ensimmäisessä PROTOS-hankkeessa kehitetty SNMP-testimateriaali vaati yhteydenoton lähes 150 eri valmistajaan.

OUSPG on aina julkaissut löytämänsä haavoittuvuudet vastuullisesti, eli kaikille valmistajille annetaan tarpeeksi aikaa reagoida haavoittuvuuksiin ennen niiden julkaisemista.

Viime aikoina OUSPG on tehnyt tiivistä yhteistyötä kansallisen tietoturvaviranomaisen CERT-FI:n kanssa haavoittuvuuksien koordinoinnissa. CERT-FI on yhdessä brittiläisen CPNI:n ja japanilaisen JPCERT:in kanssa koordinoinut maailmanlaajuisesti testimateriaalin jakelua ja muuta testausvaiheeseen liittyvää toimintaa eri ohjelmisto- ja laitevalmistajien kanssa.

Oppia tuleville ohjelmoijille

Ryhmää työllistää myös yliopisto-opetus. Oulun yliopiston sähkö- ja tietotekniikan osastolla on viime aikoina uudistettu ohjelmointikursseja rankalla kädellä, ja OUSPG on aktiivisesti osallistunut kurssien kehittämiseen.

Ohjelmoinnin opetukseen panostaminen parantaa osaltaan tietoturvan tasoa, kun opiskelijat saavat oppinsa tutkijoilta, jotka tietävät ainakin sen, miten ei kannata ohjelmoida.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.