Selaimen lisäosat saattavat muodostaa aivan tavalliselle tietokoneen käyttäjälle todellisen tietoturvariskin. Varsinkin kaksi suosittua lisäosaa, Java ja Flash Player, ovat tästä tunnettuja esimerkkejä – silti niitä käytetään laajalti. Juuri tämä laaja käyttäjäkunta on yksi syy siihen, miksi rikolliset pyrkivät käyttämään niiden tietoturva-aukkoja hyväkseen.
Seuraavaksi kerromme kansantajuisesti, miksi näiden käyttöä tulisi välttää tai miksi se tulisi lopettaa kokonaisuudessaan.
Javan muodostamat tietoturvariskit
Java on Sun Microsystems -yhtiön kehittämä ohjelmointialusta, joka ei sinällään ole mitenkään vaarallinen. Java-ohjelmointikieltä käytetään itse asiassa miljardeissa erilaisissa laitteissa aina matkapuhelimista tehokkaisiin palvelintietokoneisiin. Se ei ole katoamassa lähitulevaisuudessa mihinkään, eikä siihen ole tarvettakaan, mutta selaimen lisäosana se muodostaa aivan webin peruskäyttäjällekin huomattavan tietoturvariskin.
Hyvä puoli asiassa on se, että tietoturvaan vähänkään tosissaan suhtautuvat webmasterit eli verkkosivustojen ylläpitäjät ovat jo aikapäiviä sitten hylänneet Javan. Nykyisin sen kehitystyöstä vastaava yhtiö, Oracle, on sekin itse asiassa jo luopunut selainlisäosan kehittämisestä.
Yhä silloin tällöin voi kuitenkin törmätä verkkosivuihin, jotka pyytävät käyttäjää asentamaan selaimeensa Java-lisäosan eli plug-inin. Tällaisen sivuston käyttämistä ei voi missään nimessä suositella, eikä lisäosan asentamista. Vaikka sivuston taustalla olevalla taholla ei välttämättä olekaan tarkoitus esimerkiksi tunkeutua koneellesi, joka pelkkä aktivoidun lisäosan käyttäminen verkkoselaimessasi jättää koneellesi valtavan tietoturva-aukon, jota jokin kolmas osapuoli voi pahoissa aikeissa yrittää hyödyntää.
Myös selainten tekijät ovat jättäneet Java-lisäosien tukemisen taakseen, eivätkä esimerkiksi Suomessakin varsin laajalti käytetyn Mozilla Firefox -selaimen nykyversioissa ole enää maaliskuusta 2017 lähtien ollut tukea Java-lisäosille tai muille nk. NPAPI-tyypin lisäosille (kuten Microsoftin Silverlightille). Toisen suositun selaimen, Google Chromen, osalta tämä NPAPI-tuki lopetettiin jo edeltävänä vuotena.
Mikäli javaa on kuitenkin jostakin syystä aivan pakko käyttää selaimessa, on varmistettava, että käytössä on viimeisin versio – niin selaimesta kuin itse lisäosastakin.
Flash Playerin tietoturvariskit
Adobe Systems -yhtiön kehittämä Adobe Flash oli etenkin 2000-luvun ensimmäisellä vuosikymmenellä verkossa hyvin suosittu multimediallinen ohjelmistoalusta, jonka avulla on luotu etenkin verkkosivuille animaatioita ja mahdollistettu videon streamaus. Vaikka sen suosio – paljolti myös sen tietoturva-aukkojen takia – on huomattavasti laskenut, on se edelleen laajalti käytössä. Siinä missä edellä käsitelty Java-plugin alkaa jo selkeästi olla ns. eilispäivän juttu, on Flashin käyttö verkossa edelleen laajaa ja yllättävänkin moni sivusto luottaa siihen.
Flash Player on Flash-tiedostojen toistamiseen tarkoitettu selaimen lisäosa, joka esiintyy esimerkiksi Firefoxissa nimellä Shockwave Player. Flashilla on ollut omat hyvätkin puolensa, mutta silti sen käyttöä on syytä harkita vakavasti. Flash Playerista on sen lyhyehkön historian aikana paljastunut lukuisia haavoittuvuuksia, ja esimerkiksi haittaohjelmien tuominen tietokoneelle Playerin kautta on ollut mahdollista.
Lisäksi Flash Player on saanut runsaasti kritiikkiä siitä, miten se vaarantaa käyttäjänsä yksityisyydensuojan. Se säilöö käyttäjän tietoja hieman evästeiden tapaan ja sallii vierailtavien sivustojen seurata käyttäjänsä tietoja yksilöllisesti.
Koko Flash-formaatti on kuitenkin tulossa tiensä päähän, hitaasti, joskin varmasti – Adobe nimittäin ilmoitti heinäkuussa 2017 lopettavansa koko Flashin kehittämisen vuoteen 2020 mennessä. Siihen asti muun muassa tietoturvapäivityksiä on luvassa, joskin Adobe on jo pitkään saanut runsaasti aiheellistakin kritiikkiä hitaudestaan Playerin aukkojen paikkaamisen suhteen.
Sekä Mozilla Firefox- että Google Chrome -selaimet hylkivät nykyversioissaan automaattisesti Flash-sisältöä, ja käyttäjältä pyydetään aina erikseen lupa sen toistamiseen. Kannattaa kuitenkin aina harkita, onko kyseisen sisällön toistamiseen todella tarvetta. Suurin osa tietoturvan ammattilaisista on jo monien vuosien ajan suositellut, ettei Flash Playeria asennettaisi tietokoneelle laisinkaan.
Microsoft Silverlight
Mainitsimme jo aiemmin Microsoftin Silverlight -liitännäisen, jonka kehittämisen yhtiö lopetti jo 2013. Tietoturvapäivityksiä siihen tosin edelleen julkaistaan. Silti yhä edelleen voi törmätä sen käyttöä vaativiin verkkosivustoihin, yhtenä suomalaisten hyvin tuntemana esimerkkinä MTV-kanavan Katsomo-palvelu. Silverlightiä koskevat samankaltaiset riskit kuin Flash Playeria, ja senkin käyttöä on syytä välttää.
Mitä peruskäyttäjä voi tehdä?
Välttääkseen tietoturvariskejä, on tietokoneen käyttäjän syytä pitää ohjelmistot ja niiden lisäosat (kuten juuri selainten plug-init) päivitettynä. Suurimmalle osalle käyttäjistä voikin suositella automaattisten päivitysten pitämistä päällä, vaikka ne voisivatkin joskus tuntua ärsyttäviltä ja koneen käyttämistä hidastavina. Pieni ärsytys on kuitenkin pieni hinta ajantasalla olevasta tietoturvasta.
Sen lisäksi että edellä mainittujen lisäosien käyttöä on syytä välttää, on myös koko joukko muita sellaisia lisäosia ja ohjelmia ylipäätäänkin, joita ei koskaan kannata asentaa omalle koneelleen. Ajantasaisen suomenkielisen tiedon uusimmista tietoturvariskeistä löytää esimerkiksi Viestintäviraston kotisivuilta. Ylipäätään ohjelmia ja lisäosia ei kannata asennella huvikseen – pidä koneellasi vain tunnettuja ja todella tarpeellisia ohjelmistoja.
Usein sanotaan, että suurin tietoturvariski on käyttäjä itse. Tällä voidaan tarkoittaa juuri sitä, että käyttäjä jättää ohjelmat ja niiden lisäosat päivittämättä, mutta toisaalta myös sitä, että käyttäjä ajattelemattomuuttaan, varomattomuuttaan ja tietämättään asentaa esimerkiksi ohjelmia luotettavista lähteistä. On yleistä, että muutoin luotettavia ohjelmia tarjotaan epäluotettavista lähteistä, jolloin niiden mukana voi seurata esimerkiksi virus.
On tärkeää muistaa, että vastuu tietoturvasta on viime kädessä vain käyttäjällä itsellään. Liiallisessa varovaisuudessa ei ole mitään pahaa, varsinkin jos tietotekniikka ei ole aivan ominta alaa.