LUOTI-julkaisuja 2/2005 Digi-tv:n tietoturvauhkat ja ratkaisut Palvelunkehittäjän näkökulma Digi-tv:n tietoturvauhkat ja ratkaisut Palvelunkehittäjän näkökulma ISBN 952-201-288-2, 952-201-289-0 (verkkojulkaisu) LUOTI-julkaisuja 2/2005 Helsinki 2005 Julkaisija KUVAILULEHTI Julkaisun päivämäärä 2.6.2005 Julkaisun laji Raportti Tekijät VTT: Jarkko Holappa, Pasi Ahonen, Mikko Rapeli, Ville Ollikainen, Juha-Pekka Koivisto, Anni Sademies ja Reijo Savola Oulun yliopisto: Tiina Kaksonen, Juhani Eronen, Kati Karjalainen, Erno Kuusela, Jorma Kajava ja Juha Röning Toimeksiantaja Liikenne- ja viestintäministeriö Julkaisun nimi Digi-tv:n tietoturvauhkat ja ratkaisut. Palvelunkehittäjän näkökulma. Tiivistelmä Tässä raportissa tarkastellaan digitaalisen television mukanaan tuomia tietoturvauhkia ja ratkaisu- vaihtoehtoja palvelunkehittäjän näkökulmasta. Teknisten ratkaisujen lisäksi raportissa kiinnitetään huomiota palvelunkehitysprosessiin – siihen liittyvään arvoverkkoon sekä palvelunkehityksen eri vaiheisiin ja niihin liittyviin uhkiin. Raportti on osa liikenne- ja viestintäministeriön Luottamus ja tietoturva sähköisissä palveluissa (LUOTI) -ohjelmaa, jonka tarkoituksena on monikanavaisten sähköisten palveluiden tietoturvan kehittäminen. Raportin tutkimusmenetelminä on ollut kirjallisuushaut, asiantuntijoiden näkemykset, yrityshaastattelut sekä laaja-alaiset kommentointikierrokset. Digitaalinen konvergenssi tuo monipuolistuvia palveluita digi-tv-maailmaan. Vuorovaikutteiset palvelut mahdollistava paluukanava on tässä kehityksessä avainasemassa. Sen voidaan nähdä olevan päätelaitteen haavoittuvin osa tietoturvamielessä, joten sen suojaaminen Internet-käytön tuomilta uhkilta, kuten haittaohjelmilta, on ensiarvoisen tärkeää. Tuotekehitysprosessien on otettava huomioon digitaalisen konvergenssin erityispiirteet – arvoverkot ja erilaisten infrastruktuurien turvallinen yhdistäminen. Koska Multimedia Home Platform (MHP) on paluukanavan ohella tärkeimpiä interaktiivisen television mahdollistavia teknologioita, saa se tässä raportissa erityishuomion. Sen mukanaan tuomia uhkia tarkastellaan palvelunkehittäjän näkökulmasta. MHP:n tietoturvaratkaisuja käsitellään ja niiden kypsyyttä ja soveltuvuutta arvioidaan muun muassa rakentumassa olevien allekirjoituskäytäntöjen osalta. Avainsanat (asiasanat) Digi-tv, MHP, tietoturva, tietoturvauhkat, sähköiset palvelut, palvelunkehitys Muut tiedot Selvityksen katselmointiin ovat osallistuneet Tommi Riikonen (Ortikon Interactive Ltd.), Jari Råman (Lapin yliopisto), Marko Helenius (Tampereen yliopisto) ja Ritva Poikolainen (VTT) Sarjan nimi ja numero LUOTI-julkaisuja 2/2005 ISBN 952-201-288-2, 952-201-289-0 (verkkojulkaisu) Kokonaissivumäärä Kieli suomi Hinta Luottamuksellisuus julkinen Jakaja Liikenne- ja viestintäministeriö Kustantaja Liikenne- ja viestintäministeriö Utgivare PRESENTATIONSBLAD Utgivningsdatum 2.6.2005 Typ av publikation Rapport Författare VTT: Jarkko Holappa, Pasi Ahonen, Mikko Rapeli, Ville Ollikainen, Juha-Pekka Koivisto, Anni Sademies och Reijo Savola Uleåborgs Universitet: Tiina Kaksonen, Juhani Eronen, Kati Karjalainen, Erno Kuusela, Jorma Kajava och Juha Röning Uppdragsgivare Kommunikationsministeriet Publikation Hot och lösningar beträffande informationssäkerheten i digital-tv. Serviceutvecklarens perspektiv. Referat I rapporten granskas de hot mot informationssäkerheten som den digitala televisionen för med sig och alternativa lösningar ur serviceutvecklarens perspektiv. Förutom de tekniska lösningarna undersöks även serviceutvecklingsprocessen och värdenätet som har att göra med den samt de olika faserna inom serviceutvecklingen och hot som är förknippade med dem. Rapporten utgör en del av kommunikationsministeriets LUOTI-program (Förtroende och informationssäkerhet i elektroniska tjänster), vars syfte är att utveckla informationssäkerheten i fråga om elektroniska tjänster som fungerar via många olika kanaler. Som forskningsmetoder för rapporten användes litteratursökningar, expertutlåtanden, företagsintervjuer och en omfattande insamling av kommentarer. Den digitala konvergensen öppnar möjligheter för ett bredare sortiment av tjänster inom digital-tv- världen. Returkanalen är ett nyckelord i denna utveckling. Med returkanal avses teknik som möjliggör interaktiva mertjänster. Returkanalen kan anses vara terminalutrustningens sårbaraste del i fråga om informationssäkerheten och därför är det mycket viktigt att skydda den mot hot som användningen av Internet medför, till exempel skadliga program. I produktutvecklingsprocesserna måste man beakta särdragen i den digitala konvergensen – värdenäten och en trygg sammanlänkning av olika infrastrukturer. Eftersom Multimedia Home Platform (MHP) vid sidan av returkanalen är en av de viktigaste tekniker som gör den interaktiva televisionen möjlig, uppmärksammas den särskilt i rapporten. De hot som MHP medför granskas ur serviceutvecklarens perspektiv. Dessutom behandlas lösningar för att trygga informationssäkerheten i fråga om MHP och man bedömer hur färdiga och tillämpbara de är, bland annat när det gäller den signaturpraxis som håller på att ta form. Nyckelord Digital-tv, MHP, informationssäkerhet, hot mot informationssäkerheten, elektroniska tjänster, serviceutveckling Övriga uppgifter Raporten har utvärderats av Tommi Riikonen (Ortikon Interactive Ltd.), Jari Råman (Laplands Universitet), Marko Helenius (Tammerfors Universitet) och Ritva Poikolainen (VTT) Seriens namn och nummer LUOTI publikationer 2/2005 ISBN 952-201-288-2, 952-201-289-0 (nätpublikation) Sidoantal Sråk finska Pris Sekretessgrad offentlig Distribution Kommunikationsministeriet Förlag Kommunikationsministeriet The publisher DESCRIPTION Date of publication 2.6.2005 Type of publication Report Authors VTT: Jarkko Holappa, Pasi Ahonen, Mikko Rapeli, Ville Ollikainen, Juha-Pekka Koivisto, Anni Sademies and Reijo Savola University of Oulu: Tiina Kaksonen, Juhani Eronen, Kati Karjalainen, Erno Kuusela, Jorma Kajava and Juha Röning Assigned by Ministry of Transport and Communications Name of the publication Information security threats and solutions in digital television; the service developer’s perspective Abstract This report examines the information security challenges brought about by digital television and their potential solutions from the service developer’s perspective. Emphasis in the report is not only on technological solutions but also the service development process, the related network of values and the various stages of service development and threats related thereto. The report is part of LUOTI, a Development Programme on Trust and Information Security in Electronic Services, which aims to promote information security in new multi-channel electronic services. Research methods employed include literature searches, expert opinions, interviews with enterprises and extensive rounds of commentary. Digital convergence is introducing more diverse services to the world of digital television. The return channel, which enables interactive television, is key to this development and may be considered the most vulnerable element of the terminal device in terms of information security. Accordingly, its protection from threats brought about by Internet use, such as malicious programs, is of the essence. The special characteristics of digital convergence – value networks and the secure linking of different infrastructures – need to be taken into consideration in service development processes. Special emphasis in this report is given to Multimedia Home Platform (MHP), as alongside the return channel it is one of the most important technologies enabling interactive television. The information security threats related to it are examined from the viewpoint of the service developer. MHP information security solutions are discussed and their maturity and suitability assessed with regard e.g. to signature practices currently being developed. Keywords Digital TV, MHP, information security, information security threats, electronic services, service development Miscellaneous Following persons participated in the survey of this report: Tommi Riikonen (Ortikon Interactive Ltd.), Jari Råman (University of Lapland), Marko Helenius (University of Tampere) and Ritva Poikolainen (VTT). Serial name and number LUOTI publications 2/2005 ISBN 952-201-288-2, 952-201-289-0 (www publication) Pages, total Language Finnish Price Confidence status Public Distributed by Ministry of Transport and Communications Published by Ministry of Transport and Communications IV Esipuhe Tämä digi-tv:n tietoturvauhkia ja niiden ratkaisumahdollisuuksia käsittelevä selvitys on toteutettu taustoittamaan liikenne- ja viestintäministeriön Luottamus ja tietoturva sähköisissä palveluissa (LUOTI) -kehittämisohjelmassa tehtävää työtä. Selvitys on laadittu palvelunkehittäjän näkökulmasta. Selvityksen tavoitteena on lisätä tietoisuutta digi-tv:hen liittyvistä tietoturvauhkista sekä niiden ratkaisumahdollisuuksista palvelunkehitysprosessin eri vaiheissa. Multimedia Home Platformin (MHP) sekä paluukanavan tietoturvaratkaisut ovat selvityksessä tarkastelun keskipisteessä. Selityksessä pyritään luomaan myös näkemyksellisyyttä tietoturvan roolista digitaaliseksi konvergenssiksi kutsutussa tilanteessa, jossa useat digitaaliset palvelut lähestyvät toisiaan ja liittyvät toisiinsa teknisellä tasolla. Kaikki selvityksessä esitetyt mielipiteet ja johtopäätökset ovat tekijöiden omia, eivätkä edusta liikenne- ja viestintäministeriön virallista kantaa. Selvityksen ovat toteuttaneet VTT ja Oulun yliopisto VTT:n tutkija Jarkko Holapan projektijohdolla. Selvityksen tutkimusmetodeina on käytetty yrityshaastatteluja, kirjallisuushakuja, asiantuntijoiden näkemyksiä sekä laaja-alaisia kommentointi- kierroksia. Työtä ovat ohjanneet ohjelmapäällikkö Kimmo Lehtosalo Eera Finland Oy:stä ja neuvotteleva virkamies Päivi Antikainen liikenne- ja viestintäministeriöstä. Selvitystä ovat matkan varrella ansiokkaasti kommentoineet Esko Junnila, Petri Luoma, Tarja Rautio ja Mika Sorsa Digita Oy:stä, Pekka Nykänen ja Arto Saikanmäki JP-Epstar Oy:stä, Juha Perttula liikenne- ja viestintäministeriöstä, Kimmo Pöntiskoski ja Carina Stenvall MTV Oy:stä, Seppo Kalli Ortikon Interactive Oy:stä sekä Mika Kanerva Sofia Digital Oy:stä. Liikenne- ja viestintäministeriö kiittää kaikkia niitä, jotka omalla panoksellaan tekivät selvityksen laatimisen mahdolliseksi. Helsingissä 2. kesäkuuta 2005 Päivi Antikainen Neuvotteleva virkamies V Tiivistelmä Digitaalinen televisio asettaa palveluympäristönä erittäin korkeat vaatimukset palvelujen käytettävyydelle ja tietoturvaratkaisuille. Käyttäjäryhmä on hyvin heterogeeninen lapsista vanhuksiin, eikä heidän tietoteknisestä osaamistasostaan voi tehdä mitään oletuksia. Tämänhetkisten päätelaitteiden käytettävyys ei kaikilta osin vastaa näitä vaatimuksia. Esimerkiksi vaihtelevat käytännöt päätelaitteiden ohjelmistopäivityksissä, mikäli niitä ei tehdä ohjelmavirran mukana tulevilla päivityksillä, eivät nosta kuluttajien luottamusta uuteen mediaan. Digi-tv-palvelujen odotukset, edut ja hyödyt saavutetaan, kun kuluttaja uskaltaa, osaa ja haluaa käyttää palveluja. Tärkeimpänä tekijänä on käyttäjän luottamus palveluun ja sen toimittajaan. Yrityksen maine luotettavana palveluntoimittajana on loppukäyttäjän näkökulmasta kustannusten ohella yksi tärkeimmistä tekijöistä palveluntarjoajan valinnassa. Digi-tv:n tietoturvan teknisistä uhkatekijöistä suurimmaksi nousee päätelaitteen eli digisovittimen turvallisuus erityisesti, kun interaktiiviset palvelut yleistyvät. Digisovittimen toimintavarmuuteen liittyvät uhkat on tiedostettu ja esimerkkejä virhetilanteiden aiheuttamista päätelaitteiden vioittumisista on jo Suomessa nähty. Laitteiden käyttäytyminen virheellistä signaalia vastaanotettaessa on monen päätelaitteen kohdalla arvaamatonta ja tämän voidaan todeta johtuvan suurelta osin puutteellisesta toimintavarmuustestauksesta. Tähän liittyvät palvelunkehittäjän näkökulmasta myös suurimmat digi-tv-verkon aiheuttamat uhkat. MHP-standardin mahdollistama vuorovaikutteisuus sen määrittelemissä profiileissa 2 (Interactive Services) ja 3 (Internet access) tuovat joitakin jo tämän päivän Internet- maailmasta tuttuja uhkia digi-tv-ympäristöön. Toistaiseksi sovellusympäristö on rajoittunut ja digitaalisen jakeluverkon kannalta tiukasti digi-tv-verkko-operaattoreiden sekä televisiokanavien hallittavissa, sillä sovellukset tulevat ohjelmasignaalin mukana. Tämä tulee muuttumaan MHP1.1:n myötä, kun sovelluksia voi ladata myös paluukanavan kautta. Silloin palvelujen jakelukanavat monimutkaistuvat ja tulevat entistä haavoittuvaisemmiksi. MHP:n Java-pohjaisuus tuo Javan vahvuudet verkotetussa ympäristössä myös digisovittimeen, mutta samalla myös sen heikkoudet, jotka palvelunkehittäjän on syytä tuntea. Palvelunkehittäjän on osattava hyödyntää Javan tarjoamia tietoturvaominaisuuksia, kuten sovellusten digitaalista allekirjoitusta ja ohjelmointirajapintojen tarjoamaa tukea salakirjoitusmenetelmille, mutta samalla on tiedostettava eri Java-toteutuksiin liittyvät haavoittuvuudet. VI Kovalevylliset päätelaitteet ja MHP-standardin 1.1-versio tuovat esiin uhkan myös vastaanotetun sisällön turvallisuudesta: sovelluksia ja siihen liittyvää dataa on mahdollista tallentaa digisovittimen massamuistiin. Lisääntyneen toiminnallisuuden kääntöpuolena on uhka pc-maailmasta tuttujen haittaohjelmien, virusten ja erilaisten vakoiluohjelmien pesiytymisestä päätelaitteeseen. Sisältöformaattien (kuva ja ääni) haavoittuvaisuudet muodostavat myös uhkan digisovittimen toiminnalle; väärin muotoillulla kuvatiedostolla on mahdollista estää vastaanottimen normaali toiminta. Kuva- tai äänitiedosto voi sisältää myös haitallista koodia, jonka päätelaite suorittaa virhetilanteessa, mikäli tällaisia käyttötapauksia ei ole riittävästi testattu palvelun kehitysvaiheessa. Palvelunkehittäjän näkökulmasta katsojalle toimitettu sisältö on tekijänoikeuslain alaista materiaalia, joka on suojattava kopiointia ja väärinkäytöksiä vastaan. Sisällön laiton käyttö, esim. tilanteessa kun palvelun maksettu käyttöaika on loppunut, on uhka palvelunkehittäjän liiketoiminnan näkökulmasta. Paluukanavan kautta digitaalisessa televisiossakin voidaan puhua konvergenssista muiden digitaalisten sisältöjen levityskanavien kanssa. Kun palvelut integroituvat muihin kokonaisuuksiin ja verkkoihin, edessä on erityyppisillä käytännöillä ja laatustandardeilla kehitettyjä ympäristöjä. Näiden yhteensovittaminen tietoturvallisesti on erittäin suuri haaste, jota ei ole vielä kyetty kaikilta osin ratkaisemaan. Sähköisten palveluiden tilaus- ja maksamisprosessien tulisi olla mahdollisimman helppokäyttöisiä ja käyttäjille entuudestaan tuttuja. Interaktiivisen television yleistyessä passiivisesta katsojasta tulee palvelujen myötä aktiivinen kuluttaja ja tuottajasta elinkeinonharjoittaja, jolloin kaupanteon pelisäännöt on oltava osapuolten kesken sovittuina välineestä riippumatta. Palvelujen turvallisuuteen on pyritty vaikuttamaan olemassa olevien uhkakuvien vuoksi jo teknologioiden standardointivaiheessa. MHP tarjoaa alustana monia, osittain Javasta peräisin olevia, tietoturvaratkaisuja. Ohjelmien alkuperä voidaan tunnistaa digitaalisilla varmenteilla, joilla voidaan vaikuttaa myös siihen, minkälaisia oikeuksia sovellus saa päätelaitteessa – allekirjoittamatonta sovellusta käsitellään epäluotettavana, eikä se voi esimerkiksi avata paluukanavaa. Avoimia kysymyksiä ovat varmennekäytännöt. MHP- standardi määrittelee julkisen avaimen järjestelmän juurivarmenteineen, mutta suurimmasta osasta tällä hetkellä myynnissä olevista päätelaitteista ei tukea sille löydy. Lisäksi maakohtaiset varmennekäytännöt ovat vasta muotoutumassa, vaikkakin joitakin kokeiluja on jo tehty. Kuten muussakin ohjelmisto- ja tuotekehityksessä, palveluntekijän sisäiset prosessit ovat avainasemassa laadukasta tuotetta kehitettäessä. Tietoturva on otettava suunnittelussa huomioon alusta lähtien. On tarkasteltava palvelukonseptin tavoitteita VII tietoturvamielessä ja tutkittava, mitä vaatimuksia esimerkiksi luottamuksellisuudelle on asetettava, jotta loppukäyttäjän luottamus palveluun on oikeutettua. Tietoturvasta on huolehdittava kehitettävän tuotteen lisäksi myös yrityksen käytännöissä ja prosesseissa mukaan lukien alihankkijoiden prosessit. Palveluun liittyvä arvoverkko ja sen eri osapuolten roolit ja vastuut on tunnistettava. Henkilöstöä on koulutettava, jotta se tuntisi tietoturvalliset toimintatavat ja työskentelisi niiden mukaisesti tietäen oman vastuualueensa. Tuote on testattava kattavasti ennen sen toimittamista asiakkaalle. MHP-sovellusten yhdenmukaisuustestaus, jota tehdään MHP-laitteille, parantaisi loppukäyttäjän kokemaa palvelunlaatua. Tietoturva tarkoittaa eri toimijoiden näkökulmasta erilaisia asioita – painotukset uhkien vakavuudessa ja ratkaisuissa vaihtelevat arvoverkon eri osissa. Sisällöntuottajalle suurimpia uhkia ovat ohjelman tai muun sisällön laiton käyttö ja levitys, verkko- operaattorille esimerkiksi viallinen ohjelmasisältö, joka haittaa katsojien päätelaitteiden toimintaa. Katsojalle uhkakuvia muodostavat yksityisyyden suoja tai vaikka sähköiseen kaupankäyntiin liittyvät riskit, kuten esimerkiksi luottokorttitietojen varastaminen. Loppukäyttäjän yksityisyyteen liittyvät uhkat tietyn palveluntarjoajan tuotteissa heikentävät tämän toimijan luotettavuutta ja näin ollen puutteellisesta yksityisyydensuojasta on tullut riski palveluntarjoajan liiketoiminnan jatkuvuudelle. Tietoturva on monitahoinen asia, johon liittyy aina teknisten ratkaisujen lisäksi lainsäädäntökysymykset ja ihmisten toimintatavat; kaikki ulottuvuudet tulisi ottaa huomioon palvelunkehitysprosessissa. VIII Lyhenteet ja terminologia 802.11 IEEE:n standardoima WLAN standardiperhe API Application Programming Interface. Sovellusohjelmointirajapinta. Arvoverkko Tapa kuvata monimutkainen liiketoimintakenttä perinteistä arvoketjua monipuolisemmalla tavalla, jossa on horisontaalisen ulottuvuuden lisäksi myös vertikaalinen ulottuvuus. Arvoketjuista poiketen arvoketjuissa voi olla useita samalla toimialalla olevia toimijoita. BT Bluetooth. Langaton tiedonsiirtoteknologia lyhyille etäisyyksille (10 m). CA Certification Authority. Varmentajaviranomainen. CERT Computer Emergency Response Team. CERT-FI on Viestintävirastossa toimiva kansallinen CERT-ryhmä, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. CPU Central Processing Unit. Keskusyksikkö. CRL Certificate Revocation List. Varmenteiden mitätöintilista. DNS Domain Name System. DRM Digital Rights Management. Sähköisten oikeuksien hallinta. Menetelmä, jolla pyritään kontrolloimaan sähköisen sisällön jakelua. DSM-CC Digital Storage Media – Command and Control. Tekniikka, joka mahdollistaa sovellusten lähettämisen osana DVB- ohjelmavirtaa. DVB(-T/C/S/H) Digital Video Broadcasting. Eurooppalainen digi-tv-standardi, joka käsittää mm. eri siirtoverkkoteknologiat: – C: Cable – kaapeli, – S: Satellite – satelliitti, – T: Terrestrial – maanpäällinen, – H: Handheld – mobiili-tv. IX EPG Electronic Program Guide. Ohjelmaopas. Yleensä lähetysvirran kautta ladattava sovellus, joka näyttää tietoja tulevista ohjelmista. Päätelaitteissa on myös tyypillisesti laitevalmistajan tekemä ohjelmaopas. FTP File Transfer Protocol. Tiedostonsiirtoprotokolla. FW Firewall. Palomuuri. Ohjelmisto tai laitteisto, joka valvoo tietokoneeseen tulevaa ja siitä lähtevää tietoliikennettä. H.263 ITU-T:n standardoima videokompressio. H.264 ITU-T:n ja ISO/IEC MPEG -ryhmän yhteisesti standardoima videokompressio. HST Henkilön Sähköinen Tunnistaminen. html HyperText Markup Language. Sivunkuvauskieli. http HyperText Transfer Protocol. html:llä kuvattujen sisältöjen siirtoprotokolla. HW Hardware. Laitteisto. ICT Information and Communications Technology. ID Identiteetti. IDS Intrusion-detection System. Tunkeutumisen tunnistusjärjestelmä (Tietojärjestelmät). IP Internet Protocol. Vastaa päätelaitteiden osoitteistamisesta ja pakettien reitittämisestä verkossa. IPv4 ja IPv6 ovat IP:n eri versioita. IPSec IP security. Kokoelma tietoturvaprotokollia IP:hen liittyen. IRT Incident Response Team. ISDN Integrated Services Digital Network. Piirikytkentäinen digitaalinen puhelinverkkojärjestelmä. ISO International Organization for Standardization. ITU International Telecommunications Union. X LAN Local Area Network. Lähiverkko. LUOTI Luottamus ja tietoturva sähköisissä palveluissa -ohjelma. LVM Liikenne- ja viestintäministeriö. MHP Multimedia Home Platform. Avoin sovellusohjelmointirajapinta digi-tv:n vuorovaikutteisille sovelluksille. MPEG ISO/IEC: Moving Pictures Expert Group. Joukko liikkuvan kuvan pakkausstandardeja. Digi-tv-maailmassa on käytössä MPEG2. Äänen pakkaukselle käytössä ovat MPEG1 audio layer 1 ja 2. MPLS Multiprotocol Label Switching. NAT Network Address Translation. Yhdessä verkossa tunnetun IP- osoitteen muuttaminen toisessa verkossa tunnetuksi IP- osoitteeksi. NNTP Network News Transfer Protocol. Protokolla uutisartikkeleiden levitykseen, kyselyyn, noutoon ja lähettämiseen luotettavan verkkoyhteyden läpi. Objektikaruselli Järjestelmä, joka mahdollistaa sovellusten ja niiden tarvitsemien tiedostojen sekä päätelaitteen ohjelmistopäivitysten lähettämisen digi-tv:n ohjelmasignaalin mukana. Paluukanava Tekninen ratkaisu, jolla katsoja voi lähettää palveluntarjoajalle tietoja, hakea sovelluksia tai muuta sisältöä. Tällä hetkellä Suomessa tyypillisesti toteutettu modeemiyhteydellä. Tulevaisuudessa paluukanava on laajakaistainen Internet-yhteys sitä tukevien päätelaitteiden tullessa markkinoille. PAN Personal Area Network. Lyhyen kantaman lähiverkko, esim. Bluetooth. PDA Personal Digital Assistant. PKI Public Key Infrastructure. Julkisen avaimen infrastruktuuri. POP3 Post Office Protocol version 3. Sähköpostiprotokolla. PSTN Public Switched Telephone Network. Kiinteä lankapuhelinverkko. XI PVR Personal Video Recorder. Päätelaitteen ohjelmavirran tallennustoiminto, joka on toteutettu esimerkiksi kovalevyllä. RA Registration Authority. Rekisteröijä. Taho, joka todentaa varmenteen hakijan henkilöllisyyden varmennepolitiikan mukaisesti. RAM Random Access Memory. Luku- ja kirjoitusmuisti. ROM Read Only Memory. Lukumuisti. S/MIME Secure Multi-Purpose Internet Mail Extensions. Sähköpostin suojaamiseen tarkoitettu protokolla. SANS SysAdmin Audit Network Security Institute. SATU Sähköinen asiointitunnus. SHA Secure Hash Algorithm. Tiivistealgoritmi, jota käytetään mm. kryptografiassa. Tiivistää syötteen kiinteän pituiseksi tiivisteeksi. Yksisuuntainen eli tiivisteestä ei pysty päättelemään syötettä. SSID Service Side Identifier. Tunnus, jonka perusteella kytkeydytään langattoman lähiverkon tukiasemaan. SSL Secure Sockets Layer. Tietoliikenteen salausprotokolla. TCP Transmission Control Protocol. Vastaa kahden päätelaitteen välisestä tiedonsiirtoyhteydestä, pakettien järjestämisestä ja hukkuneiden pakettien uudelleenlähetyksestä. TLS Transport Layer Security. Ks. SSL. UDP User Datagram Protocol. Vastaa kahden päätelaitteen välisestä tiedonsiirtoyhteydestä. Kevyempi kuin TCP. Ei järjestä eikä uudelleen lähetä hukkuneita paketteja. USB Universal Serial Bus. Sarjaväyläarkkitehtuuri oheislaitteiden liittämiseksi laitteeseen. VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä. WEP Wired Equivalent Privacy. Salausjärjestelmä WLAN-verkoissa. WiFi Wireless Fidelity. 802.11:n mukainen WLAN. XII WLAN Wireless Local Area Network. Langaton lähiverkko. VRK Väestörekisterikeskus. www World Wide Web. X.509 ITU:n suositukset sähköisille varmenteille ja mitätöintilistoille. xhtml Extensible Hypertext Markup Language. xml eXtensible Markup Language. XIII Sisällysluettelo Esipuhe ........................................................................................................................... IV Tiivistelmä........................................................................................................................V Lyhenteet ja terminologia.............................................................................................VIII Sisällysluettelo..............................................................................................................XIII 1. Tutkimuksen taustaa ....................................................................................................1 1.1 Selvityksen tavoitteet..........................................................................................1 1.2 Tietoturvan määritelmä ......................................................................................2 1.3 Yrityshaastattelujen antamat suuntaviivat..........................................................3 2. Lyhyt teknologiakatsaus ..............................................................................................6 2.1 Lyhyt internet-verkon ja protokollien kuvaus ....................................................6 2.2 Lyhyt digi-tv-järjestelmien kuvaus.....................................................................7 2.2.1 Lähetysverkko ja -teknologiat................................................................7 2.2.2 Multimedia Home Platform (MHP) .....................................................10 2.2.3 Päätelaitteet ..........................................................................................15 2.2.4 Lisäarvopalvelut...................................................................................17 2.2.4.1 Paluukanava ja päätelaitteiden ohjelmistopäivitykset...........20 2.3 Lyhyt digitaalisen konvergenssin kuvaus.........................................................21 3. Digi-tv:n tietoturvauhkat............................................................................................23 3.1 Lähetysverkkoon ja päätelaitteisiin kohdistuvat uhkat.....................................23 3.2 Paluukanavan hallinta ja konvergenssin uhkat.................................................25 3.3 Palvelunkehitysprosessi....................................................................................28 4. Ratkaisut digi-tv:n tietoturvauhkiin ...........................................................................30 4.1 Riskienhallinta..................................................................................................34 4.1.1 Teknologiariippuvuuden hallinta .........................................................34 4.1.2 Muutosten hallinta................................................................................35 4.1.3 Tietoturvariskien hallinta .....................................................................36 4.2 Teknologiakeskeiset ratkaisut ..........................................................................37 4.2.1 Käyttäjien ja laitteiden tunnistaminen..................................................39 4.2.1.1 Käyttäjien tunnistaminen ......................................................39 4.2.1.2 Päätelaitteiden tunnistaminen ...............................................40 4.2.2 Palvelujen tunnistaminen .....................................................................40 4.2.3 Sisällönsuojaus.....................................................................................42 4.2.4 Yksityisyys...........................................................................................43 XIV 4.2.4.1 Yksityisyys sähköisissä palveluissa ......................................44 4.2.4.2 Katsojien profilointi ..............................................................44 4.2.5 Digi-tv:n perusrakenteiden suojaaminen..............................................44 4.2.5.1 Palvelimien suojaamisesta käytännössä................................47 4.2.5.2 Hyökkäyksen havaitsemiskäytännöistä.................................49 4.2.5.3 Virustorjunnasta ja haittaohjelmista käytännössä .................51 5. MHP-palvelun kehitystyöhön liittyvät erityispiirteet ................................................53 5.1 Luottamusmallit................................................................................................53 5.2 Luottamuksen rakentaminen ............................................................................53 5.3 Yleistä pohdintaa palvelunkehityksestä ...........................................................55 5.3.1 Toimijat – arvoverkko..........................................................................55 5.3.2 Asiakaslähtöisyys.................................................................................57 5.3.3 Tietoturvalähtöisyys.............................................................................58 5.4 Palvelunkehitysprosessista ...............................................................................58 5.4.1 Palvelunkehitysprosessin vaiheiden suhde ratkaisuihin.......................59 5.4.2 Palveluidean/konseptin kehittely .........................................................61 5.4.3 Palvelun suunnittelu .............................................................................62 5.4.4 Palvelun toteutus ..................................................................................63 5.4.5 Palvelun testaus....................................................................................63 5.4.6 Palvelun käyttöönotto...........................................................................64 5.4.7 Palvelun ylläpito...................................................................................64 5.4.8 Palvelun edelleen kehittäminen............................................................66 5.4.9 Palvelun lopettaminen..........................................................................66 Lähdeluettelo ...................................................................................................................68 Liitteet Liite A: Yrityshaastatteluiden kysymyksiä Liite B: Löydetyt uhkat kussakin kehitysvaiheessa Liite C: Verkkolähteitä 1 1. Tutkimuksen taustaa 1.1 Selvityksen tavoitteet Televisioverkon digitalisointi etenee Suomessa verrattain nopealla tahdilla. Digitalisoinnin taustalla on hallituksen 4.3.2004 tekemä periaatepäätös, jonka mukaan televisiolähetykset muuttuvat kokonaan digitaalisiksi 31.8.2007 alkaen. Maanpäällisen digitaalisen tv-jakelun piirissä on laskennallisesti jo noin 94 % väestöstä ja vuoden 2005 loppuun mennessä sen on tarkoitus kattaa 99,9 % väestöstä, kun digitalisoinnin kolmas vaihe on toteutettu [Digi-tv]. Finnpanelin tekemän tutkimuksen mukaan tammikuussa 2005 digisovittimia oli jo yli puolessa miljoonassa kodissa eli 22 % kotitalouksista on varustettu joko antenni-, kaapeli- tai satelliittivastaanottoon tarkoitetulla digisovittimella tai -televisiolla. Näistä kuitenkin vain noin viisi prosenttia oli vuorovaikutteiset palvelut mahdollistavan Multimedia Home Platform (MHP)-standardin mukaisia. Uusien palvelujen ja teknologioiden tietoturvakysymykset ovat hyvin monimutkainen ongelmakenttä. Tämän hetken digi-tv-verkko on palvelunkehittäjän näkökulmasta turvallinen, koska aidosti vuorovaikutteisia palveluja (ts. palveluja, jotka vaativat paluukanavan) ei ole kovin paljon johtuen mm. niiden vaatimien päätelaitteiden huonosta saatavuudesta. Tilanne tulee lähitulevaisuudessa muuttumaan, kun MHP- standardin mukaiset päätelaitteiden hinnat laskevat ja valikoima kasvaa. Digi-tv-toimialan arvoverkko on hyvin laaja ja sisältää paljon toimijoita eri rooleissa. Vastuukysymykset esimerkiksi tietoturvaloukkaustapauksissa ovat erittäin ongelmal- lisia, eikä niihin ole kaikilta osin selviä toimintaohjeita. Televisiolähetys-toiminta on verrattain tarkasti säädeltyä sekä Suomessa että koko EU:n tasolla, mutta arvoverkon riippuvuussuhteet ja uusien palvelujen luonne luovat tilanteita, joissa kaikki tarjottuun palveluun ja sisältöön liittyvät säädökset ja direktiivit eivät ole aina kaikkien arvo- verkon toimijoiden tiedossa. Tulevaisuudessa mobiililaitteet (kännykkä, PDA), digi-tv ja tietokone voivat olla palvelun näkökulmasta vain eri päätelaitteita, joilla voidaan käyttää yhtä ja samaa palvelua. Digitaalisen television näkökulmasta tämä tarkoittaa sitä, että joitakin osia on avattava Internetille ja Internet-protokollan rooli tulee merkittävästi kasvamaan. Kääntöpuolena on nähtävissä turvallisuusriskien kasvaminen; Internet-maailmasta tutut uhkakuvat ovat siirtymässä digi-tv-maailmaan, mikäli uhkia ei tunnisteta ja turvallisuus- näkökulmaa ei oteta riittävästi huomioon palvelunkehitysvaiheessa. 2 Tämän selvityksen tarkoituksena on tarkastella digitaalisen television ja erityisesti MHP-sovellusten mukanaan tuomia tietoturvauhkia. Selvityksessä pyrittiin löytämään ratkaisuja (sekä teknisiä että palvelunkehitysprosessiin liittyviä), joilla uhkakuviin voidaan vastata. Selvitys antaa kuvan digi-tv-maailmaan liittyvistä teknologioista, uhkista ja MHP-palvelunkehitysprosessin erityispiirteistä. 1.2 Tietoturvan määritelmä Tietoturvallisuuden kehittämisen päätavoite on hyvän tietojenkäsittelytavan ja asianmukaisen perusturvallisuustason luominen. Tietojen luottamuksellisuutta, eheyttä ja saatavuutta turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta ja vahingoilta. Tietoturvallisuus perustuu tiedon kolmeen eri peruskäsitteeseen eli luottamuksellisuuteen, eheyteen ja saatavuuteen: • Luottamuksellisuus – tiedot ovat vain niiden käyttöön oikeutettujen saatavissa, eikä niitä paljasteta tai muutoin saateta sivullisten käyttöön. • Eheys – tiedot ja järjestelmät ovat luotettavia, oikeellisia ja ajantasaisia, eivätkä ne ole laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai tuhoutuneet. • Saatavuus – järjestelmien tiedot ja järjestelmien muodostamat palvelut ovat tarvittaessa niihin oikeutettujen käytössä. Turvafunktiot kuuluvat myös keskeisesti tietoturvan piiriin. Niiden avulla tietojen- käsittelyn turvaamisen tehtävät voidaan jakaa seuraavasti: • Väärinkäytösten havaitseminen, ehkäiseminen ja välttäminen • Korjaustoimenpiteet, elpyminen ja pelotteet. Turvafunktioiden toteuttamiseksi tietojärjestelmään luodaan kontrolleja, jotka voivat olla esim. politiikka, menetelmä, käytäntö, laite, tai ohjelmoitu mekanismi. Määritelmät: Tietoturva: hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muiden kuin siihen oikeutettujen toimesta, ja että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä. (Sähköisen viestinnän tietosuojalaki, 16.6.2004/516). Tietoturvallisuus: eri muodossa olevien tietojen ja palvelujen, järjestelmien ja tietoliikenteen suojaamista niihin kohdistuvien riskien hallitsemiseksi soveltuvilla toimenpiteillä. Tietoturvallisuus on laajempi käsite kuin vain tieto- ja viestintä-teknologioiden tekninen turvallisuus. (Yritysten tietoturva- tietoisuustyöryhmä, [YRTI]). 3 Tietosuoja: henkilön yksityisyyden suojaamista henkilötietojen käsittelyssä. Tätä tarkoitusta varten henkilötiedot on suojattava oikeudettomalta tai henkilöä vahingoittavalta käytöltä. (Viestintävirasto). 1.3 Yrityshaastattelujen antamat suuntaviivat Selvityksessä pyrittiin kartoittamaan digi-tv-palvelujen nykytilaa ja palvelunkehittäjän näkökulmaa haastattelemalla alan toimijoita Suomessa ja muualla. Haastattelun tavoitteena oli lisäksi selvittää digi-tv-alan arvoverkkoa ja sen eri osiin kohdistuvia uhkia eri toimijoiden mielestä ja pyrkiä tunnistamaan palvelunkehitysprosessiin liittyviä erityispiirteitä. Haastatteluissa selvitettiin digitaaliseen televisiotoimintaan vaikuttavaa arvoverkostoa. Digitaalisen television ohjelmien tuotanto voidaan jakaa viiteen päävaiheeseen. Nämä ovat ohjelmien tuotanto, palvelujen tuotanto, paketointi, jakelu ja kuluttaminen. Haastattelussa käytettiin keskustelun pohjana kysymysrunkoa, joka on esitetty liitteessä A. Arvoverkkoa ja palvelunkehitysprosessia on käsitelty tarkemmin kappaleessa 5. Tässä kappaleessa esitetään yhteenvetona yrityshaastattelun esiin tuomia näkökulmia. Haastatteluissa todettiin, että tämän selvityksen kannalta on keskeistä pohtia kuhunkin näihin vaiheisiin liittyviä tietoturvakysymyksiä, mahdollisia ongelmia, uhkia ja niiden ratkaisuja. Tämän hetken suurimmaksi uhkatekijäksi digitaalisen television kentässä nähdään päätelaitteen ja digisovittimen turvallisuus. Päätelaite on verrattain haavoittuva virheelliselle datavirralle, mistä nähtiin esimerkki, kun keväällä 2004 virheellinen ohjelmavirta vioitti päätelaitteita Suomessa (Tietoviikko 15.4.2004). MHP-sovellusten yleistyessä päätelaitteiden tietoturva tulee entistä tärkeämpään asemaan ja ratkaistaviksi kysymyksiksi nousevat esimerkiksi sovelluksen alkuperän tunnistaminen, päätelaitteen suojaaminen (virustarkistus, palomuurit) ja katsojan yksityisyyteen liittyvät kysymykset. Yleinen näkemys oli, että tietoturvan suhteen päätelaitteen hankkija on hyvin pitkälti laitevalmistajan armoilla, koska tekniset ratkaisut ovat lähes poikkeuksetta laitekohtaisia siitä huolimatta, että laitteiden teknisille ratkaisuille on olemassa standardoidut määritykset. Nämä määritykset ovat kuitenkin verrattain väljiä ja se mahdollistaa saman toiminnallisuuden toteuttamisen usealla, toisistaan poikkeavalla tavalla. Eksoottisempiin ratkaisuihin joudutaan varsinkin, kun on tarvetta tehdä kompromisseja muistinkulutuksen tai laskentatehon rajoitusten vuoksi. Yleisesti uhkat voivat kohdistua erityisesti ohjelmasisältöihin, päätelaitteisiin ja kuluttajan tietosuojaan. Näistä erityisen vahingollisia tv-toiminnan luotettavuudelle olisivat sisältöön kohdistuvat väärinkäytökset, esimerkiksi tilanteet, joissa ohitetaan todellinen sisältö väärennetyllä sisällöllä tai vahingoitetaan päätelaitetta ohjelmallisesti. 4 Päätelaitteisiin kohdistuvat hyökkäykset joutuisivat useissa tapauksissa käyttämään hyväkseen toteutustason yksityiskohtia, joten sama hyökkäys ei usein toimisi kaikkia päätelaitteita vastaan. Toisaalta eri valmistajien päätelaitteet käyttävät paljon samoja ohjelmistokomponentteja. Esimerkiksi MHP:n Java-alusta ja digisovittimen käyttö- järjestelmä ovat niin suuria ohjelmistokokonaisuuksia, että päätelaitevalmistajien kannattaa usein lisensoida ne kolmansilta osapuolilta, tai valmistuttaa tai lisensoida koko laitteisto- ja ohjelmistokokonaisuus ulkopuolelta. Java-toteutuksissa on ollut historiallisesti paljon haavoittuvuuksia, joiden avulla Java-ohjelma voi saada kohde- järjestelmässä laajemmat oikeudet kuin mitä sille kuuluisi ja päästä käsiksi alla olevaan käyttöjärjestelmään ja laitteistoon. Todennäköisimpinä voidaan pitää hyökkäyksiä, joilla pyritään murtamaan tietyn valmistajan Java-toteutus. Tällaiset hyökkäykset aiheuttavat merkittävän taloudellisen riskin. Yksittäisten päätelaitteiden tuhoaminen on marginaalisempi ongelma ja pääte- laitteiden kirjavuudesta johtuen kaikkiin laitteisiin kohdistuvat hyökkäykset ovat suhteellisen epätodennäköisiä. Todennäköisempänä voidaan pitää hyökkäyksiä, joilla yritetään kaataa jonkin tietyn laitevalmistajan tietyntyyppisiä laitteita. Tällaiset hyökkäykset ovat ikäviä loppukäyttäjän kannalta, mutta eivät sinällään aiheuta merkittävää taloudellista tai poliittista riskiä. Kuluttajan tietoturvaan kohdistuvat uhkat, kuten roskaposti ja yksityisyyden suojaan liittyvät ongelmat, ovat luonnollisesti kriittisiä. Nykymuodossaan järjestelmään kohdistuvat uhkat eivät kosketa laajoja kuluttajaryhmiä, koska todellisten interaktiivisten palvelujen määrä on vielä suhteellisen pieni. Kun interaktiivisuus digitaalisessa televisiossa lisääntyy, tietoturvakysymykset kiteytyvät erityisesti päätelaitteeseen ja paluukanavaan liittyviin asioihin. Erityisesti loppu- käyttäjän asema interaktiivisuuden lisääntyessä on tietoturvan kannalta asia, johon tulisi kiinnittää huomiota. Digitaaliseen televisioon liittyvistä standardeista erityisesti MHP on tietoturvaselvityksen näkökulmasta keskeinen. Tarkemmin MHP:hen liittyviä kysymyksiä on selvitetty kappaleessa 3. Digitaalisen televisiotoiminnan todettiin haastatteluissa olevan vielä varsin tiivistä yhteistyötä muutamien keskeisten toimijoiden välillä, mutta tarve yhteistyön koordinoinnille ja organisoinnille toimijakentän laajetessa tulee lisääntymään. Toimijakenttä tulee varsin todennäköisesti muuttumaan lähitulevaisuudessa palvelujen määrän kasvaessa ja digitaalisen televisiotoiminnan kehittyessä interaktiivisempaan suuntaan. Toistaiseksi markkinat ovat vielä varsin pienet ja siitä johtuen tuotekehitys- panos, joka tietoturvaan on mahdollista laittaa, on suhteellisen pieni. Riskianalyysi on palvelunkehityksessä erityisen keskeisessä asemassa. On tarkkaan pohdittava, mitä riskejä on olemassa ja mitkä niistä todella vaativat toimenpiteitä. Kaikkia riskejä vastaan suojautuminen ei ole mahdollista, eikä taloudellisesti järkevää. 5 Tietoturva-asiantuntijan osallistuminen palvelunkehitykseen heti suunnitteluvaiheesta lähtien on järkevää riskien hallintaa. Haastatteluissa todettiin, että tällä hetkellä huomattavia puutteita lainsäädännössä ei ole olemassa. Tästä syystä lainsäädännöllisten kysymysten pohtiminen rajataan tämän selvityksen ulkopuolelle. Voidaan kuitenkin todeta, että sähköisen viestinnän tietosuoja- direktiivi kieltää digitaalisessa televisiovastaanotossa tallennetun tilaajaan tai käyttäjään liittyvän viestinnän tiedon, kuten kanavavalintojen, kellonaikojen, katsottujen mainosten tai pelattujen pelien, kuuntelun ja siirron palvelun tarjoajalle. Lisäksi sähköisten palvelujen kehittäjän on otettava huomioon erityisesti yksityisyyteen vaikuttava lainsäädäntö, jota on käsitelty kappaleessa 4.2.4, sekä sähköiseen kaupankäyntiin liittyvät säännökset. 6 2. Lyhyt teknologiakatsaus 2.1 Lyhyt internet-verkon ja protokollien kuvaus IP-protokollan suurimpia etuja ovat sen joustavuus, yksinkertaisuus ja mahdollisuus eri fyysisten siirtoteiden käyttöön sekä sen reititysmallin tuoma toimintavarmuus. IP- pohjainen arkkitehtuuri on ollut vallalla tietoliikenteessä 90-luvulta lähtien. Internet on nippu yhteensovitettuja IP-verkkoja. Laitteen liittäminen Internetiin tarkoittaa siis vain sen yhdistämistä verkkoon muiden verkon laitteiden kanssa käyttäen tiedonsiirron verkkokerroksena IP-protokollaa. Fyysisenä siirtotienä voi tällöin toimia mikä tahansa yhteys, kuten esimerkiksi ISDN, ATM, UMTS tai GPRS. Internetiin liitettävä laite saa IP-osoitteen, jonka ei välttämättä tarvitse edes olla globaali, vaikka se protokollaperheen alkuperäiseen filosofiaan kuuluukin. IP-verkoissa tiedonsiirtoon käytetään TCP- ja UDP-protokollia, ja näin muodostuvan TCP/IP-protokollaperheen päälle voidaan rakentaa hyvin erilaisia sovelluksia. IP toimii siis monenlaisten verkkojen päällä ja sen päälle voidaan rakentaa melkein mitä tahansa. Tämä onkin ollut tärkeänä syynä tekniikan suosioon: IP-tekniikoita voidaan hyödyntää olemassa olevaa infrastruktuuria käyttäen, ja toisaalta uusiin siirtotekniikoihin siirtyminen onnistuu ilman muutostarpeita verkkoihin ja sovelluksiin. Nykyisin puhutaan usein ns. all-IP-verkoista, joissa perinteisistä tekniikoista, kuten puhelin- verkoista, siirrytään käyttämään IP-pohjaisia ratkaisuja. Teknisesti katsottuna TCP/IP-protokollaperheeseen kuuluu mitä moninaisimpia eri palveluja toteuttavia protokollia. Näihin palveluihin kuuluvat eri reititystekniikat, verkonhallinta, verkkopakettien kuljetus eri tavoin, hakemistopalvelut, autentikointi, verkkolaitteiden hallinta, tiedostojen siirto, sähköpostin välitys eri tavoilla, www- sivujen välitys, äänen ja liikkuvan kuvan välitys, palvelunlaadun hallinta, IP-pohjaisten puhelujen hallinta ja niin edelleen. Nämä protokollat ovat harvemmin palvelujen näkyvinä osina, mutta toimivat niiden tärkeinä tukiresursseina. Käyttäjien näkökulmasta tärkeimmät Internetin palvelut ovat www-selaus ja kommunikaatiopalvelut, kuten sähköposti, uutisryhmät sekä pikaviestintä. Selauksen osuus Internet-palveluista on selvästi ylikorostunut, usein käyttäjien ja mediankin mielestä Internet käsitetään synonyymiksi www:lle. Selaimilla käsitellään monenlaista passiivista ja aktiivista sisältöä ja eri pankki-, kauppa- ja virastopalveluja siirretään verkkoon voimakkaasti. Internetin merkityksen voi nähdä tulevaisuudessa vain kasvavan yhä useampien toimintojen siirtyessä verkkoon, esimerkiksi verkon välityksellä äänestämisestä on jo tehty pilottiprojekteja. 7 Suosiotaan Internet-palveluina ovat myös lisäämässä IP-puhelut ja erilaiset yksi- suuntaiset ja vuorovaikutteiset video- ja äänipalvelut monilähetys- ja palvelunlaatu- tekniikoineen. 2.2 Lyhyt digi-tv-järjestelmien kuvaus 2.2.1 Lähetysverkko ja -teknologiat Digitaalinen televisio Suomessa perustuu DVB-standardeihin [DVB]. Maanpäälliset verkot käyttävät DVB-T-standardia, kaapeliverkoissa on käytössä DVB-C ja satelliitti- lähetykset pohjautuvat DVB-S-standardiin. Liikkuvissa päätelaitteissa voidaan hyödyntää DVB-H-standardia, joka pohjautuu DVB-T:hen. Standardit eroavat toisistaan lähinnä eri siirtoteille optimoitujen modulointimenetelmien osalta. Päätelaitteet eroavat toisistaan vastaavasti. Tietovirta digitaalisessa televisioverkossa on toistaiseksi pääasiassa DVB:n avulla tapahtuvaa äänen ja kuvan siirtoa suljettua verkkoa pitkin lähettäjältä vastaanottajalle. Kuvan ja äänen lisäksi digi-tv:n kautta voidaan lähettää myös dataa ja tuottaa datapalveluja. Kuvassa 1 on esitetty digitaalisen jakeluverkon yleisen tason lohkokaavio, joka ei ota kantaa siirtotien tyyppiin (maanpäällinen, kaapeli tai satelliitti). Kuvassa on myös esitetty eri osiin kohdistuvat uhkat. Palvelunkehittäjä voidaan tässä käsittää sisällöntuottajaksi, kehittäjäksi ja paketoijaksi. Järjestelmässä kuva ja ääni koodataan MPEG2-standardin [MPEG2] mukaisesti enkooderissa ja samalla tavalla koodatut palvelut yhdistetään yhteen MPEG2-kuljetusbittivirtaan multiplekserin (MUX) toimesta. Yhdestä kuljetusbittivirrasta käytetään myös nimitystä kanavanippu. Kuvan ja äänen sekä palvelujen vaatiman merkinantotiedon lisäksi jakeluverkossa voidaan välittää myös dataa käyttäen IP-protokollan mukaisia palveluja [Södergård 1999], [FICORA]. 8 M U X MPEG2- enkooderi kuva ääni signalointi data Siirtoverkko MPEG2- bittivirta ~ 22,1Mbps Palveluntarjoaja Toimittaa palvelusisällön lähetykseen Paluukanava Vastaanotin Päätelaite uhkat Lähetysverkkoon kohdistuva uhkat Paluukanava uhkat (IP- maailma) Palvelunkehitys- prosessiin liittyvät uhkat Palvelimiin kohdistuvat uhkat Kuva 1. Digitaalinen jakeluverkko ja sen eri osiin kohdistuvat uhkat. Seuraavassa lyhyt yhteenveto DVB-standardeista ja niiden tärkeimmistä eroista. Kaikkia DVB-muotoihin liittyy lukuisia eri parametreja. Nämä parametrit asetetaan lähetteelle suunniteltujen vastaanotto-olosuhteiden mukaan siten, että saadaan aikaan mahdollisimman tarkoituksenmukainen kompromissi lähetteen kaistanleveyden ja näkyvyyden välille. DVB-S DVB-S-järjestelmä on suunniteltu toimimaan kaikilla satelliittiviestinnän kaistan- leveyksillä. Se on DVB-standardeista vanhin ja yleisimmin käytetty. Kaikki data on vakiokokoisina DVB-TS-paketteina. DVB-S käyttää QPSK-modulointia. 9 DVB-T DVB-T:ssä perustana ovat MPEG2-paketit ja lähetykset perustuvat COFDM- modulaatioon. DVB-T:ssä on optimoitu kyky toimia erilaisissa lähetysympäristöissä, mikä tekee siitä monikäyttöisen. DVB-C DVB-C perustuu DVB-S:ään, siinä käytetään QAM-modulointia. Lisäksi paketin sisäistä virheenkorjausta ei tarvita. DVB-H DVB-H on maanpäällinen digi-tv-standardi, joka pohjautuu DVB-T-standardiin ollen taaksepäin yhteensopiva sen kanssa. Merkittävämpänä erona on pienempi virrankulutus ja parempi tuki liikkuvalle vastaanottimelle. DVB-H-standardissa käytetään DVB-T- verkkoa IP-liikenteen välittämiseen. Tämä tunnetaan yleisnimikkeellä IP-Datacasting. DVB-H-standardin mukaiset päätelaitteet, kuten kännykät ja PDA-laitteet, voivat siis vastaanottaa digi-tv-lähetyksiä käyttäen maanpäällistä digi-tv-verkkoa (DVB-T), jolloin signaalin siirtämiseen ei käytetä lainkaan matkapuhelinverkkoja. DVB-H ei ota kantaa videon pakkaukseen; tyypillisesti käytetään H.263- ja H.264-koodekkeja (MPEG4). DVB-H:ssa kanavanipun parametrit asetetaan siten, että mobiilivastaanotto helpottuu (mm. virransäästön vuoksi). Kanavanipun koko on 10 Mbit/s, yhden kanavan vaatima datavirta on noin 256 kbit/s. Sovellusympäristönä DVB-H muistuttaa MHP:ta. Päätelaitteen rajoitukset esimerkiksi ruutukoon ja resoluution suhteen tuovat palvelunkehitykseen kuitenkin omat erityispiirteensä. PDA-laitteiden kosketusnäytöt tarjoavat myös uusia mahdollisuuksia esimerkiksi käyttöliittymien teossa. Kännykkä on päätelaitteena televisiota henkilö- kohtaisempi ja käyttötottumukset hyvin erilaisia perinteiseen television katsomiseen verrattuna. DVB-H-vastaanotto voidaan toteuttaa päätelaitteessa mediakännyköistä tyypillisillä tekniikoilla. DVB-IP (IPTV) IPTV-teknologia perustuu Internet-protokollan käyttöön sekä ohjelmanjakelussa että paluukanavassa. Kotipäätteeksi vaaditaan DVB-IP-määrityksen mukainen laite. Yhden ohjelman välittäminen vaatii siirtonopeudeksi 2–5 Mbit/s, mikä tarkoittaa käytännössä vaatimusta vähintään 8 megabitin laajakaistaliittymän käytöstä. Liiketoimintamalliltaan IPTV rinnastetaan kaapelijakeluun eli sillä on must carry -velvoite, jonka mukaan korvauksettoman jakeluvelvoitteen alaiset digi-tv-lähetykset on jaettava verkossa salaamattomina niin, että ne voidaan vastaanottaa ilman lisämaksuja ja ylimääräisiä, esimerkiksi salauksenpurkujärjestelmistä aiheutuvia kustannuksia. Laajakaistainen paluukanava mahdollistaa tilaajakohtaiset palvelut, kuten esimerkiksi tilausvideo- palvelun (Video-on-Demand). 10 2.2.2 Multimedia Home Platform (MHP) DVB-organisaatio alkoi vuonna 1998 kehittää standardia lisäarvopalvelujen kehittämistä varten. Tämän työn tuloksena syntyi Multimedia Home Platform (MHP), jonka myös Suomi on valinnut vuorovaikutteisten lisäarvopalvelujen toteutus- teknologiaksi. Tällä hetkellä MHP-standardien mukaisia palveluja lähetään Suomen lisäksi Ruotsissa, Saksassa, Italiassa ja Espanjassa, joista varsinkin Italiaa pidetään edelläkävijänä Euroopassa MHP:n käyttöönotossa. MHP-kokeiluija ja MHP:ta tukevia julkilausumia on tehty lähes kaikissa Euroopan maissa. Kuva 2. MHP:n levinneisyys (www.mhp.org). MHP on avoin standardi ja se määrittelee yleiskäyttöisen rajapinnan vuorovaikutteisten sovellusten ja päätelaitteen (digisovitin) välille. Sovellukset kirjoitetaan Java- ohjelmointikielellä ja Xhtml-sivunkuvauskielellä, jolloin ohjelmavirran mukana lähetetään myös Java-pohjainen selain. Tällä varmistetaan sovellusten alusta- riippumattomuus laitteisto- ja käyttöjärjestelmätasolla. MHP-arkkitehtuuri voidaan kuvata kolmen kerroksen avulla, jotka on esitetty taulukossa 1 [MHP]. 11 Taulukko 1. MHP:n arkkitehtuurin osat. Kerros Tehtävä Resurssit MPEG-muotoisen signaalin demultipleksointi, audio- ja videosignaalin käsittely, I/O-laitteet, suoritin (CPU), muisti- ja grafiikkaresurssit. Järjestelmäohjelmisto Käyttää resursseja tarjotakseen korkeamman tason näkymän alustasta sovelluksille. Sovellukset MHP-toteutukset sisältävät sovellushallinnan (”navigator”), joka ohjaa MHP-alustaa ja sovelluksia joita siinä ajetaan. MHP-standardi sisältää kolme erilaista profiilia, jotka on esitetty kuvassa 3. Kuva 3. MHP:n profiilit (www.mhp.org). Ne on kehitetty helpottamaan standardien käytännön toteutusten tekemistä. Profiili viittaa sovellusalueeseen ja myös päätelaitteen ominaisuuksiin. MHP:n kolme profiilia ovat: 1. Enhanced broadcast (Parannettu lähetys) Profiili tehtiin vastaamaan toiminnaltaan monia olemassa olevia välitason järjestelmiä ja niissä ajettavia sovelluksia. Tämä profiili edustaa suorituskyvyltään alimman tason päätelaitteita, joissa ei ole lainkaan paluukanavaa. 2. Interactive services (Vuorovaikutteiset palvelut) Tämä profiili sisältää päätelaitteet, joissa on kehittyneemmät paluukanava- ominaisuudet. Merkittävin ero profiiliin 1 on, että tässä profiilissa on mahdollisuus ladata sovelluksia ohjelmavirran mukana, kun profiilissa 1 sovellusten lataaminen ei onnistu. Vuorovaikutteisuus on tuettu myös ohjelmointirajapinnan osalta. 12 Internet Access Profile määrittää päätelaitteeseen paikallisen selainsovelluksen sekä rajapinnan, jolla tätä selainta voidaan hallita. 3. Internet access (Internet-käyttö) MHP-standardin kehittynein profiili. Päätelaite on edellisten profiilien määrittelemiä päätelaitteita tehokkaampi ja siinä on enemmän muistia. Profiili keskittyy Internet- sisällön käyttöön digi-tv-vastaanottimella. MHP-laitteen Internet-käyttö tuskin koskaan korvaa henkilökohtaista tietokonetta. Resurssien rajallisuus, käyttöliittymän rajoitukset ja mahdolliset paluukanavaan liittyvät rajoitukset, esimerkiksi käytettävissä olevien protokollien suhteen, rajaavat Internet-sisällön verrattain yksinkertaisiin sähköposti- ja nettisurffailu-tyyppisiin (esim. pankkien tarjoamat verkkopalvelut) sovelluksiin. MHP:n ydin perustuu DVB-J-alustaan, joka sisältää Sun Microsystemsin tekemän Java Virtual Machine Specification -määrityksen mukaisen virtuaalikoneen ja ohjelmointirajapinnan (API), jonka kautta MHP-sovellukset käyttävät alustan tarjoamia resursseja ja järjestelmätason ohjelmiston palveluja. Tavallisen tv-katselijan näkökulmasta digi-tv:n interaktiivisuus perustuu tällä hetkellä lähinnä MHP1.0.2-standardiin. MHP1.1 on uusi standardi, jonka käyttöönoton myötä digisovittimiin voidaan ladata sovelluksia paluukanavan kautta, kun MHP1.0.2 mahdollistaa sovellusten lataamisen ainoastaan ohjelmavirran mukana. Tulossa oleva MHP1.1-standardi tuo mukanaan uusia tietoturvariskejä, jotka liittyvät suurimmaksi osaksi paluukanavan käyttöön, mutta toistaiseksi MHP1.1:n mukaisia päätelaitteita ei ole myynnissä. Koska MHP-alusta ja sen ohjelmointirajapinnat perustuvat Javaan, kehittäjän on otettava huomioon Javan tietoturvaominaisuudet; sen tarjoamat edut ja rajoitukset. Java on oliopohjainen ohjelmointikieli ja se on alusta asti suunniteltu verkotettujen ohjelmistojen kehittämiseen ja tarjoamaan turvallisen tavan ladata sovelluksia verkon yli. Tämä ei ole kuitenkaan toteutunut täysin aukottomasti Java-toteutuksissa; haavoittuvaisuuksia, joissa sovellus voi rikkoa sille asetettuja käyttöoikeusrajoituksia, esiintyy aika ajoin. Javan pääkomponentteja ovat tavukoodi ja virtuaalikone, jossa koodi ajetaan. Javan virtuaalikone piilottaa sovellukselta käyttöjärjestelmän ja laitteiston, joten Javasta voinee puhua pelkän ohjelmointikielen sijaan ohjelmistoalustana. Java on verkotettujen ohjelmistojen kannalta parempi alusta kuin perinteiset C-pohjaiset alustat, koska siihen sisäänrakennettua tietoturvamallia on kehitetty eteenpäin aina Javan ensimmäisistä versioista lähtien. Javan sovellusohjelmointirajapinnat tarjoavat tuen salakirjoitustekniikoille ja julkisen avaimen menetelmille, mukaan lukien varmenteisiin pohjautuva X.509 käyttäjäntunnistuskehys, jota myös MHP-määritykset hyödyntävät sovelluksen alkuperän tarkistamisessa. 13 Muiden sovellusten X.509-toteutuksissa on ollut jonkin verran sellaisia tietoturva- haavoittuvuuksia, jotka mahdollistavat X.509-toteutukseen murtautumisen sekä sellaisia, jotka mahdollistavat X.509-pohjaisen varmennuksen ohittamisen. Kuvassa 4. on esitetty Javan tietoturvamalli. Se tarjoaa eri tavoin rajoitetun pääsyn järjestelmäresursseihin riippuen suoritettavan koodin tietoturvapolitiikasta ja alku- perästä. Näiden perusteella määräytyy ohjelman luotettavuus ja se, kuinka paljon ohjelma saa oikeuksia kohdejärjestelmässä. Toisessa päässä on täysin luotettava sovellus, jonka toimintaa ei rajoiteta ollenkaan; vastakohtana täysin epäluotettava sovellus, jonka käynnistämistä ei sallita ollenkaan. Java käyttää käyttöoikeuksien rajoittamisesta termiä hiekkalaatikko, joita voidaan määritellä esimerkiksi erityyppisille palvelunkehittäjille omansa (laitevalmistaja, operaattori, kolmas osapuoli). Kuva 4. Javan tietoturvamalli. Javan tietoturvapolitiikka on käytännössä sovelluksen mukana tuleva ”oikeuksien pyyntö” -tiedosto (permission request). Kuvassa 5. on esitetty esimerkin omaisesti tällainen tiedosto [MHP]. MHP:ssä on käytössä Javan oma tietoturvapolitiikka sekä MHP:n määrittelemä politiikka. Tämän käytännön toteutus vaihtelee eri päätelaitteiden välillä. MHP-standardissa on jätetty tarkoituksellisesti avoimeksi, mitkä käyttöoikeus- pyynnöt jäävät käyttäjän hyväksyttäväksi. Näin ollen tietoturvapolitiikka tämän osalta on jätetty markkinoiden, kuluttajien ja valvovien viranomaisten tehtäväksi. Järjestelmän resurssit Tietoturva-manageri Virtuaalikoneen täydellinen pääsy järjestelmäresursseihin Hiekkalaatikon rajoittama pääsy Paikallinen, tai verkon yli suoritettava koodi Domain Domain Domain Tietoturvapolitiikka Luottamus kasvaa Täysin luotettu Täysin epäluotettava 14 Toukokuussa 2005 Suomessa ei ole käytössä MHP:hen oikeuksien pyyntötiedostoa, vaan sovellus saa Javan virtuaalikoneen puitteissa kaikki oikeudet, joskin digisovit- timissa voi olla laitevalmistajakohtaisia rajoituksia, jotka ovat tiukempia kuin Javan tietoturvamalli. +3583111111 +3583111112 hostname 5/15/dir1/scores 5/15/dir1/names 023203293292932932921493143929423943294239432 3 Kuva 5. Javan Permission Request -tiedosto. 15 Palvelunkehittäjän näkökulmasta Java tarjoaa samat tietoturvatyökalut ja -ratkaisut laitteistosta riippumatta, jos vain virtuaalikone on toteutettu standardin mukaisesti. Taulukossa 2. on esitetty Suomessa tähän mennessä tehtyjä MHP-palveluja, joita tarjotaan maanpäällisessä tai kaapeliverkossa. Taulukko 2. MHP-Palveluita Suomessa 2.5.2005 (lähteet: Yleisradio, Mtv3, Ortikon Interactive, Sofia Digital ja Digita, www.digitv.fi). Uutispalvelut Uutiset (kotimaa, ulkomaa, urheilu) • Ylen supertekstitelevisio • Uutisrulla (Yle) • MTV3 Tekstikanava (MTV3, MTV3+, Subtv) • FST:n uutiset (Yle) • Savon Sanomat • Netlari • Kaleva • Olet.info • Radio 957 Säätiedot • Ylen supertekstitelevisio • MTV3 Tekstikanava (MTV3, MTV3+, Subtv) Talousuutiset • Kauppalehti/MTV3 Tekstikanava (MTV3, MTV3 + Subtv) Ohjelmaoppaat Tulevat elokuvat ja sarjat • MTV3 Tekstikanava (MTV3, MTV3 + Subtv) • Nelosen supertekstitelevisio (Nelonen, Nelonen+) Lähiajan ohjelmatiedot • Ohjelmaopas (kaikki digi-tv-kanavat, suomen- ja ruotsinkielinen ) Viihde Pelit • Muistipeli (Yle) • NE-spelet (Yle) • Lotto (koekäytössä) (MTV3, MTV3 + Subtv) • OBlox • Klondike Ohjelmakohtaiset palvelut • G5, Käenpesä, Joka kodin asuntomarkkinat, T.i.l.a., Ruokala.tv, SM-liiga Hockey Night (MTV3) • Food: Impossible, Anarkistit, SubLeffat (Subtv) Muut Yhteiskuntapalvelut • Eduskuntafakta (Yle) • Postin digi-tv-palvelu (lähetä sähköinen joulukortti Postin digi-tv-palvelulla) Pankkipalvelut • Osuuspankin Digi-tv-palvelu (MTV3, MTV3 + Subtv) Viestintä • Sähköposti ja chat-palveluja • Lupiini Deitti • Sooda-Portal 2.2.3 Päätelaitteet Päätelaitteiden eli digisovittimien yleistyminen on tällä hetkellä tärkein tekijä interaktiivisten palvelujen yleistymisessä. Tällä hetkellä on nähtävissä muna-kana- ongelma interaktiivisten MHP1.1.-palvelujen kohdalla; MHP1.1-yhteensopivat pääte- laitteet eivät yleisty, koska palveluja ei vielä ole ja toisaalta uusia palveluja ei voimallisesti kehitetä, koska päätelaitteita ei ole vielä markkinoilla. Ensimmäiset sovittimet tarjosivat perusominaisuudet digitaalisen televisionlähetyksen vastaan- ottamiseen ja kortinlukijalla varustetut mallit mahdollistivat myös maksullisten tv- kanavien vastaanottoon. Toisen kehitysvaiheen päätelaitteiksi voidaan lukea kova- levylliset digisovittimet, jotka mahdollistavat ohjelmien tallennuksen (PVR, Personal Video Recorder) ja nk. ajansiirron (time-shifting), jossa katsoja keskeyttää televisiosta tulevan ohjelman katsomisen esimerkiksi puhelun takia ja jatkaa puhelun jälkeen 16 katsomista siitä mihin jäi. Tällä hetkellä myynnissä olevissa MHP-standardia tukevissa päätelaitteissa ei ole kovalevyä. Kolmas kehityssukupolvi tuo tullessaan aidosti interaktiivisen digisovittimen eli siis MHP1.1-standardin mukaisen laitteen. Tämä monipuolistaa palvelutarjontaa ja maksullista sisältöä. Konvergenssi nykyisen Internet- maailman kanssa lähenee vuorovaikutteisen kanavan myötä. Tässä kappaleessa esitellään Suomen markkinoiden kannalta tärkein päätelaitemääritys, NorDig, sekä Italian DGtvi D-Book -määritys. NorDig NorDig-yhteenliittymä perustettiin luomaan yhteispohjoismainen digitaalitelevision vastaanotinmäärittely käyttäen pohjana DVB-standardeja. Tällä haluttiin helpottaa kuluttajien siirtymistä digi-tv:seen ja mahdollistaa DVB-lähetyksien vastaanotto samalla vastaanottimella maasta tai mediasta riippumatta. Sisällöntuottajille NorDig-määrittely tuo tiedon siitä, minkälaista signaalia vastaanottimet pystyvät vastaanottamaan, ja miten heidän tuottamansa palvelut ja sisältö näkyvät niissä. Nordig-Unified-määritys esittelee neljä profiilia (Kuva 6). Perustoiminnallisuuden lisäksi määrityksessä on kolme profiilia, jotka vastaavat MHP-standardin profiileja. Kuva 6. NorDig-määrityksen profiilit. Kuvassa 7. on esitetty NorDig-päätelaitteen arkkitehtuuri. NorDig-vastaanottimessa on ainakin yksi sisäänrakennettu kaapeli-, satelliitti- tai maanpäällisen järjestelmän viritin. NorDig:ssa on lisäksi Common Interface -liitäntä, jonka avulla vastaanottimeen on mahdollista kytkeä erillinen satelliitti- tai kaapeliviritin sisäänrakennetun maanpäällisen virittimen rinnalle. Common Interfacen kautta voidaan kytkeä myös erillinen CA- moduuli (Conditional Access), joka mahdollistaa useamman erilaista salausjärjestelmää käyttävän palveluntarjoajan ohjelman seuraamisen. Perustoiminnallisuus, ei vuorovaikutteiset vastaanottimet Perustoiminnallisuus, ei vuorovaikutteiset vastaanottimet Perustoiminnallisuus, ei vuorovaikutteiset vastaanottimet Perustoiminnallisuus, ei vuorovaikutteiset vastaanottimet Vuorovaikutteinen kanava Vuorovaikutteinen kanava Parannettu (MHP-Enhanced -profiili) Parannettu (MHP-Enhanced -profiili) Parannettu (MHP-Enhanced -profiili) Vuorovaikutteinen (MHP- Interactive -profiili) Vuorovaikutteinen (MHP- Interactive -profiili) Internet (MHP-Internet access - profiili) NorDig-Basic NorDig-Enhanced NorDig-Interactive (NorDig II) NorDig Internet Access 17 Kaikissa NorDig-vastaanottimissa on älykortin lukija, jolla päästään sekä salattuihin että mahdollisiin muihin palveluihin, kuten vedonlyönti- ja pankkipalveluihin, jotka vaativat tunnistautumista. NorDig-määrityksessä luetellut paluukanavatekniikat on esitelty kappaleesa 2.2.4.1 [YLE TK-lehti], [NorDig]. Kuva 7. NorDig-päätelaitteen arkkitehtuuri. Italian DGtvi D-Book Italia on tehnyt määrityksen maansa markkinoille sopivasta digi-tv-vastaanottimesta [D-Book]. Italian valtion tuella on tehostettu MHP-yhteensopivien päätelaitteiden kehitystä ja hankintaa, minkä vuoksi vastaanottimia on käytössä siellä jo noin 1,5 miljoonaa (Tammikuu 2005, www.mhp.org). Suuren penetraation vuoksi Italian digi-tv- vastaanotin määritys on suuren mielenkiinnon kohteena muuallakin Euroopassa. DGtvi- määritys kuvaa teknologiat ja toiminnalliset edellytykset päätelaitteelle sekä laitteiston että ohjelmiston osalta. Se perustuu kansainvälisiin standardeihin (MHP, DVB). Yhtenä päätavoitteena on ollut myös yhteen toimivuuden säilyttäminen muiden vastaavien määritysten (NorDig) kanssa. 2.2.4 Lisäarvopalvelut Lisäarvopalvelut ovat sovelluksia, joita käytetään päätelaitteen kaukosäätimellä ja esimerkiksi näppäimistöllä. Useimmat lisäarvopalvelut toteutetaan MHP-sovelluksina. Sovellukset voivat olla joko valmiiksi laitteeseen asennettuja tai ne välitetään ohjelma- virran mukana (MHP1.0) tai ladataan paluukanavan kautta (MHP1.1). Tässä kappaleessa esitellään lyhyesti yleisimmät lisäarvopalvelut, joita tällä hetkellä on käytössä [ArviD3]. API Sovellusohjelmisto Järjestelmäohjelmisto Laitteisto + bootloader API RF/IF sisäänmeno I/O Video/Audio, grafiikka Älykortti Interaktiivinen kanava Common Interface Mediariippuvainen laitteisto 18 Ohjelmaopas Kuva 8. Esimerkki ohjelmaoppaan käyttöliittymästä. Ohjelmaopas (EPG, Electronic Program Guide) on käytetyin ja tärkein lisäarvopalvelu. Oppaan avulla katsoja voi selata ohjelmatietoja ja valinnaisesti seurata yhtä aikaa tv- ohjelmaa. Käyttöliittymä on yksinkertainen; sitä käytetään kaukosäätimen väri- ja nuoli- näppäimillä. Oppaan toiminta perustuu lähetysvirran mukana lähetettävään SI-dataan (service information). Ohjelmaopas voidaan toteuttaa vastaanottimeen sisäänraken- nettuna tai MHP-sovelluksena. Ohjelmia koskevat tiedot päivittyvät jatkuvasti, joten vastaanotin pystyy mm. virittymään oikealle kanavalle. Superteksti-tv Superteksti-tv on vanhan teksti-tv:n uudistettu versio. Siinä vanhan teksti-tv:n teksti ja kömpelö grafiikka ovat vaihtuneet värigrafiikkaan ja linkkejä sisältävään hypertekstiin. Käyttöliittymänä on supertekstiselain, johon sopivaa sisältöä digi-tv-operaattorit ja sisällöntuottajat tekevät käyttäen siihen soveltuvia työkaluja; sivujen määritykset tehdään xhtml:n ja CSS:n avulla. Sivuilla voidaan perinteisten sivunumeroiden lisäksi navigoida käyttämällä tekstiin upotettuja linkkejä, jolloin selailu muistuttaa hyvin paljon www-sivujen lukemista. Superteksti-tv vaatii MHP-yhteensopivan päätelaitteen. 19 Kuva 9. Esimerkki Superteksti-tv:n käyttöliittymästä. Ohjelmakohtaiset palvelut Tyypillisesti ohjelmakohtaisia palveluja voidaan käyttää vain ohjelman lähetyksen aikana tai saatavuutta on muuten rajoitettu esimerkiksi tietyn tyyppisiin lähetyksiin, kuten vaikkapa Olympialaisten ajaksi. Tällaisia palveluja ovat esimerkiksi ohjelmaan liittyvät tietokilpailut, pelit ja äänestykset, urheiluohjelmien sekä vaalien tulokset tai ohjelmiin liittyvät sivut superteksti-tv:ssä. Kanavakohtaiset palvelut Kanavakohtaiset palvelut eivät liity mihinkään ohjelmaan, vaan ne ovat aina saatavilla, kun vastaanotin on viritetty oikealle kanavalle. Tällaisia palveluja voivat olla uutis- ja pörssikurssipalvelut tai palautteen antaminen kanavalle. Kanavakohtaisiin palveluihin luetaan myös ohjelmaopas ja superteksti-tv. Paluukanavan vaativat palvelut Kun vastaanottajalla on tarve viestiä palveluntarjoajan kanssa, tarvitaan paluukanava. Tällaisia palveluja ovat esim. edellä mainitut äänestys- ja palautepalvelut. Paluukanava- tekniikoita on käsitelty tarkemmin seuraavassa kappaleessa. Tulevaisuudessa paluu- kanavan vaatimat palvelut monipuolistuvat. Internetistä tutut palvelut, kuten sähköposti, pankkipalvelut ja sähköinen kaupankäynti, nähdään mielenkiintoisimpina kuluttajan näkökulmasta. Tämän tyyppisissä palveluissa tietoturvavaatimukset korostuvat. 20 Päätelaitteen suojaaminen viallisilta sovelluksilta sekä luottamuksellisen tiedon käsittely ja siirto vaativat turvallisia toteutuksia, ennen kuin loppukäyttäjän luottamus palveluihin voidaan ansaita. Kuten kaikissa muissakin lisäarvopalveluissa, käyttöliittymän helppouden lisäksi on korostettava tietoturvan helppoutta ja läpinäkyvyyttä katsojalle. 2.2.4.1 Paluukanava ja päätelaitteiden ohjelmistopäivitykset Paluukanavatoteutukseen on standardoitu useita vaihtoehtoja. Taulukossa 3. esitetään yhteenvetona yleisimmät mahdolliset paluukanavatekniikat. Taulukon yhdeksän ensimmäistä tekniikkaa on määritelty NorDig-spesifikaatiossa, jonka mukaan pääte- laitteen tulee tukea ainakin yhtä niistä. Muut taulukossa esitetyt tekniikat edustavat mm. erityyppisiä kotiverkkoteknologioita, jotka mahdollistavat päätelaitteen liittämisen kodin muuhun tietoverkkoinfrastruktuuriin. Näiden paluukanavatoteutusten kohdalla nopeus tarkoittaa suurinta liitäntätekniikan mahdollistamaa tiedonsiirtonopeutta digi- sovittimen ja Internet-liitännän tarjoavan laitteen välillä; ei siis välttämättä paluu- kanavan siirtonopeutta. Italian digivastaanotinmäärityksessä paluukanavatekniikaksi on määritetty modeemiliitäntä (56 kbit/s), linkkitason protokollaksi on määritetty PPP. Vaihtoehtoisina tekniikkoina DGtvi-D-Book määrittelee Ethernet-liitännän DHCP- tuella varustettuna tai GSM/GPRS-liitännän matkapuhelinverkkoon. Tämän lisäksi on olemassa teollisuusyhteenliittymiä, jotka pyrkivät yhdenmukaistamaan kotiverkon laitteiden tiedonsiirtoprotokollia ja liitettävyyttä, esimerkkinä Universal Plug and Play (UPnP) ja Digital Living Network Alliance (DLNA) [ArviD], [FICORA2]. Ohjelmistopäivitykset Päätelaitteeseen voidaan päivittää ohjelmallisesti uusia ominaisuuksia tai korjata aikaisemman ohjelmistoversion virheitä. Ohjelmistopäivitys voidaan toimittaa lähetysvirran mukana. Tämä toiminto mahdollistaa esimerkiksi MHP-standardin kehittyessä sen uusien ominaisuuksien käyttöönoton (laitteiston toiminnallisuuden rajoissa). Verkko-operaattori (esim. Digita) testaa ohjelmistopäivitykset ennen kuin se laittaa ne lähetykseen. Ohjelmistopäivityksiä ei lähetetä jatkuvasti, vaan ne ovat saatavilla rajoitetun ajan. Tämän vuoksi laitevalmistajat ovat tehneet erilaisia ratkaisuja, joilla päivityksiä voi asentaa vaikkapa huoltoliikkeessä. Katsoja voi myös itse siirtää päivityksen päätelaitteeseen esimerkiksi kotitietokoneelta käyttäen RS232C- sarjakaapelia. Asennusohjeet ja -käytännöt vaihtelevat laitevalmistajalta toiselle, ja ne vaativat tietoteknistä perusosaamista, jota ei voida olettaa olevan jokaisella television- katsojalla. Tietoturvan kannalta ohjelmistopäivitykset ovat uhka lähinnä toimivuudelle; virheellinen päivitys voi sotkea päätelaitteen toiminnan niin, että se on palautettavissa vain huoltoliikkeessä tai laitevalmistajalla. Uhkana voidaan nähdä myös viallisen ohjelmistopäivityksen tahallinen levittäminen, mikäli hyökkääjä kykenee väärentämään lähetyksen toisella lähettimellä. 21 Taulukko 3. Paluukanavatekniikoita. Tekniikka Nopeus erityispiirteitä V.32bis 14,4 kbit/s V.90 56 kbit/s Puhelinverkko on kaikkialla käytettävissä, mutta verkoissa on maakohtaisia eroavaisuuksia, jotka rajoittavat kansainvälistä yhteiskäyttöisyyttä. Ethernet (IEEE 802.3 tai nopeampi) 10 Mbit/s - 10 Gbit/s Ethernet-teknologia kehittyy nopeammaksi ja alueellisesti laajempiin verkkoihin. Uusissa asunnoissa on usein kaapelointi valmiina Ethernet- verkkoa varten. EURO-ISDN (ETS 300 012) 128 kbit/s ISDN ei ole yleistynyt yhtä paljon kuin Saksassa ja Norjassa. DECT (ETS 300 175) 32 kbit/s DECT ei ole laajassa käytössä, eikä todennäköisesti yleisty paluukanavan toteutusteknologiana. GSM/GPRS (EN 301 195 /ES 202 218) GSM: 9,6 kbit/s HSCSD: 43,2 kbit/s GPRS: 171,2 kbit/s GSM/GPRS-päätelaiteen liityntä digisovittimeeen on tyypillisesti joko IrDA tai Bluetooth. DVB-paluukanavaliitäntä (ETS 300 800) 3,088 Mbit/s EURODOCSIS-tekniikan kilpailija. Euro DOCSIS (ES 201 488) 38 – 51 Mbit/s (jaetaan samassa solussa olevien kesken) Päätelaitteen enimmäissiirtonopeus tyypillisesti 512 kbit/s Suomen Kaapelitelevisioliiton määritys [REF!!] vaatii sisäänrakennetun EuroDocsis- kaapelimodeemin. IEEE 1394 (Firewire) 400 Mbit/s Reaaliaikaisen kuvan ja äänen siirtämiseen kehitetty teknologia. IrDA 4 Mbit/s Laitteella on oltava näköyhteys toiseen laitteeseen ja etäisyys lyhyt. Ei yleistyne digi-tv –päätelaitteissa. xDSL 8 Mbit/s (ADSL, tilaajalle) 1,5 Mbit/s (verkkoon päin) 54 Mbit/s (VDSL) Laajakaistainen datayhteys, joka käyttää puhelinkaapelointia. Levinnein laajakaistatekniikka Suomessa. Bluetooth 721 kbit/s/57 kbit/s (asymmetrinen) 433,9 kbit/s (symmetrinen) Etäisyys laitteiden välillä n. 10m. IEEE 802.11 (WLAN) 54 Mbit/s Langaton lähiverkkoteknologia. IEEE 802.15 (WPAN) TG3: 11..55 Mbit/s TG4: 20..250 kbit/s Pohjautuu Bluetooth-teknologiaan. HomePNA 1 Mbit/s Puhelinkaapelointia hyödyntävä lähiverkkoratkaisu Datasähkö 2 – 4 Mbit/s (jaetaan saman muuntopiirin alueella olevien kesken) Hyödyntää olemassa olevaa sähkökaapelointia. Ongelmana häiriönpoisto. IEEE 802.16 (WiMAX) 70 Mbit/s Langaton MAN–verkkoteknologia (Metropolitan Area Network). Ulottuvuus noin 50 km. 2.3 Lyhyt digitaalisen konvergenssin kuvaus Konvergenssiksi kutsutaan tilannetta, jossa useat palvelut lähestyvät toisiaan ja liittyvät toisiinsa teknisellä tasolla. Samoja palveluja tarjotaan eri verkkoja käyttäville asiakkaille yhdenmukaistuvaa välitysjärjestelmää pitkin. Tietoturvan kannalta konvergenssin pääongelmana voidaan pitää integroituvien verkkojen erilaista peruslaatua: Internet on avoin ja hallitsematon järjestelmä, kun taas konvergoitumisen myötä kaikki siihen liittyvät, perinteisesti suljetut järjestelmät, kuten televisio- ja (matka)puhelinverkot sekä tuotannonohjausjärjestelmät, ovat olleet yksittäisen organisaation hallussa. Suljettuihin verkkoympäristöihin kohdistuu kuitenkin nyt ja tulevaisuudessa erilaisia paineita. Suuri osa organisaatioista ulkoistaa toimintojaan voimakkaasti, jolloin verkko voi siirtyä toisen tahon hallintaan. Verkkoinfrastruktuurien muutokset ajavat kohti all- 22 IP-ratkaisuja kustannussäästöjen vuoksi, jolloin esimerkiksi puhelinliikennettä voidaan ohjata IP-verkon päällä, MPLS-reititystä ja muita vastaavia tekniikoita käyttäen. Verkkojen yhdistyessä kontrolli ja vastuu niistä pirstaloituu. Yhtenä suljettujen ympäristöjen ongelmana on ollut turvallisuusajattelun puutteellisuus: kun koko verkko on yhden organisaation käsissä, eikä verkossa ole vihamielisiä tahoja, syntyy helposti vaikutelma turvallisuudesta, vaikka verkon tietoturva olisi millä tahansa tasolla. Konvergenssiuhkan tärkeimpinä peruspiirteinä voidaan siis pitää järjestelmien siirtymistä suljetuista verkoista avoimiin ympäristöihin ja siten myös verkkoliikenteen leviämistä uusiin ympäristöihin suunnittelemattomilla ja testaamattomilla tavoilla. Konvergoituneissa järjestelmissä tiedot kulkeutuvat erilaisten verkkoympäristöjen välillä ja virheellinen sanoma voi aiheuttaa uusissa verkkoympäristöissä ongelmia niissä tehtyjen oletusten tai virheiden vuoksi. Internetissä konvergenssin kaltaiset tilanteet eivät ole mitään uutta. Kun verkko alkoi laajentua, siihen liitettiin paljon suljettuja, usein myös yhden käyttäjän järjestelmiä. Näihin eristetyiksi ajateltuihin järjestelmiin alkoi verkon kautta päästä käsiksi tavoilla, joita ei otettu tai ehkä voitukaan ottaa lukuun aiemmin. Tietoturvan murtamiseen ei aina tarvittu edes toteutusvirheitä hyödyntäviä murtautumisia tai tunnistusmenetelmien ohittamista – joissakin järjestelmissä ei ollut alkeellisimpiakaan turvamekanismeja. Turvallisuus- ja toimintavarmuuskulttuuri on levinnyt ja leviämässä IP-maailman ohjelmistokehitykseen, mutta verkottumisen aikaansaamien haasteiden merkkejä on nähtävissä monissa teknologioissa, joita ollaan liittämässä IP-verkkoon. Nämä teknologiat voivat kärsiä samoista uhkista, jotka ovat Internetissä arkipäivää. 23 3. Digi-tv:n tietoturvauhkat Tämä uhkakartoitus pohjautuu olemassa oleviin tutkimuksiin sekä projektin yhteydessä toteutettuihin yrityshaastatteluihin. Digitaaliseen televisiotoimintaan liittyvät uhkat voidaan karkeasti jakaa digi-tv:n lähetysverkkoon ja päätelaitteeseen kohdistuviin uhkiin, paluukanavan hallintaan ja digitaaliseen konvergenssiin liittyviin uhkiin sekä palvelunkehityksen uhkiin. 3.1 Lähetysverkkoon ja päätelaitteisiin kohdistuvat uhkat Esimerkki 1: Käyttäjä asentaa digisovittimelle tarkoitetun ohjelmistopäivityksen, joka on viallinen (sisältää esimerkiksi ohjelmistovirheitä tai on vioittunut siirron aikana). Ohjelmiston toiminta varmistetaan yleensä sovittimessa ennen sen käyttöönottoa. Varmistamisen epäonnistuminen saattaa vahingoittaa laitetta, kun ohjelmistoa yritetään käynnistää. Esimerkki 2: Ohjelmasignaali sisältää virheitä, joita digisovitin ei pysty käsittelemään/korjaamaan Tämä aiheuttaa digisovittimessa ei-toivottuja toimintoja tai jopa vahingoittaa sitä. DVB:hen liittyvät tietoturvauhkat ovat pienehköjä. Tämä johtuu siitä, että DVB:llä tapahtuva tiedon (pääasiassa äänen ja kuvan) siirto on operaattorin kontrollin alaista. Operaattorin itsensä mukaan uhkia ei esiinny ohjelmien paketointi- tai jakeluvaiheessa, koska näitä vaiheita operaattorilla on mahdollisuus valvoa ja niihin voidaan tarvittaessa puuttua. Todennäköisimmin operaattorin näkökulmasta uhkat liittyvät siis ohjelmien tuotantovaiheeseen tai kuluttamiseen ja laitteistoihin. Toimijakenttä on kuitenkin laajenemassa ja tämän myötä myös siirron hallinta muuttuu entistä haastavammaksi. Käytännössä DVB-pohjaiseen liikenteeseen puuttuminen on ulkopuoliselle toistaiseksi verrattain vaikeaa, mutta ei mahdotonta. Lähetystä on mahdollista yrittää väärentää toisella lähettimellä. DVB-T-lähetykset perustuvat COFDM-modulaatioon, jonka tunnusomaisena piirteenä on monitie-etenemisen eliminointi siten, että vastaanotin lukittuu siihen hetkeen, jolloin signaali on ”puhdas” eli monitie-eteneminen on ehtinyt vaientua ja kaikki lähetteet näkyvät samana symbolina. Tämä mahdollistaa kaapeli-tv- verkossa väärän lähetteen syöttämisen vastaanottopisteeseen jo pienilläkin (muutama watti) teholla, mutta etäisyys vastaanottopisteeseen ei saa olla suuri. Muita uhka- esimerkkejä DVB:hen liittyen on virheellisen datan lähettäminen systeemiohjelmistojen päivittämisen yhteydessä. Laitteistopäässä tähän riskiin on varauduttu suojauksilla. Esimerkiksi päätelaitteessa oleva flash-muisti tyhjennetään vasta, kun on varmistettu, että uusi ohjelma on verifioitu. 24 Digi-tv:ssä käytettyä maksu-tv-järjestelmää, Conaxia, kohtaavat älykorttien ja maksu- tv:n yleiset uhkat. Satelliittitelevisiokäytössä älykortit pitävät piratismin ja luvattoman käytön kohtuullisissa rajoissa, vaikka järjestelmä ei ajoittain tarvittavien korttipäivi- tysten kalleuden vuoksi ole optimaalinen. Suuremmat tietoturvauhkat liittyvät MHP:n käyttöön. MHP1.0.2 asettaa tällä hetkellä useita rajoituksia digi-tv:n interaktiiviselle käytölle. MHP1.1:n käyttöönoton myötä digi-tv lähenee entistä enemmän Internetiä. Toistaiseksi MHP1.1:n mukaisia päätelaitteita tai palveluja ei ole saatavilla, mutta sitä mukaa kun teknologiaa otetaan käyttöön, vaaditaan entistä tarkempaa tähän standardiin liittyvien uhkien tarkastelua. MHP:n yleistyessä on mahdollista, että kolmansien osapuolten tekemät komponentit niissä yleistyvät. Tällöin on ainakin teoriassa mahdollista, että jokin ulkopuolinen taho voi näiden komponenttien kautta soluttaa haittaohjelman lähetyksessä olevaan MHP-sovellukseen sovelluksen tekijän tietämättä. Tällä hetkellä MHP-sovelluksia on mahdollista ladata omalle laitteelle vain lähetys- virran kautta, jolloin siitä ja siinä lähetettävien sovellusten turvallisuudesta vastaa operaattori. Niin sanottuun objektikaruselliin ladattavat sovellukset lisätään tyypillisesti käsin, vaikka automatisoituja järjestelmiä on kehitetty. Tämä takaa sen, että joku ihminen vastaa, miten sovellukset saatetaan ihmisten ulottuville. Toisaalta se voi altistaa inhimillisille erehdyksille. Vaikka karuselliin lisätäänkin ladattavat sovellukset käsin, ne on yleensä liitetty paikallisverkkoon. Mikäli joku ulkopuolinen taho pääsee tunkeutumaan tähän verkkoon, hänellä on ainakin teoriassa mahdollisuus karusellin ohjaamiseen ja kenties myös luvattoman aineiston lähettämiseen. Itse MHP-standardiin liittyy lukuisa joukko tulkinnanvaraisuuksia. MHP-sovellusten toimivuus ristiin eri laitemalleissa on vielä tästä syystä kehitysvaiheessa, varsinkin MHP-standardin 1.1-version kohdalla. Myös tämä osaltaan hidastaa sovellusten kehittämistä. MHP:n tietoturvaa voidaan varmistaa sähköisillä allekirjoituksilla, mutta ne ovat MHP:n osalta Suomessa vasta tulossa käyttöön. Allekirjoitusprosessi koostuu kolmesta osasta: tiivistetiedostoista, allekirjoitustiedostoista ja todistustiedostoista. Allekir- joitukset ovat tällä hetkellä olemassa olevista keinoista paras tapa varmistua, ettei sovellusten sisältöä ole muutettu. Juurivarmenneviranomaisen allekirjoittamaan sovellukseen liitetään ns. lupatiedosto (esimerkki tällaisesta tiedostosta on esitetty kappaleessa 2.2.2), joka kertoo, mitä resursseja kyseinen sovellus saa käyttää. MHP:n juurivarmentaja on tällä hetkellä WiseKey SA, joka on suuri ulkomainen toimija. Suomessa allekirjoituskäytäntö on vasta muotoutumassa. Todennäköinen vaihtoehto on, että allekirjoitusvarmenne annetaan yhdelle suurelle toimijalle, jolloin pienemmät toimijat eivät tarvitse omaa varmennetta, vaan voivat toimia esimerkiksi verkonhaltijan varmenteen alla. Tällöin kaikilla varmenteen haltijoista on kuitenkin vastuu omasta osastaan. 25 Tämän hetken suurin haaste varmenteiden osalta on päätelaitteiden kehittymättömyys tältä osin; valtaosassa digi-tv-vastaanottimia ei ole mitään juurivarmenteita, mistä johtuen allekirjoituksen tarkistaminen ja sovellusten käyttöoikeuksien määrittäminen on laitevalmistajan toimesta kytketty pois toiminnasta. MHP-määritysten vastaisesti on siten mahdollista, että allekirjoittamaton sovellus voi avata paluukanavan vaikkapa modeemikaappausta varten tai vaihtaa kanavaa. Digitaalisen varmennuksen kanssa täytyy olla erityisen tarkkana silloin, kun käyttäjän pitää varmistaa jotain toimintoja varmennustietoihin liittyen. Laitteessa täytyy olla tällainen mekanismi esimerkiksi sellaisia tilanteita varten, joissa jokin varmenteista vaarantuu ja laitteet täytyy päivittää uutta varmennetta varten – muutoinhan ohjelmiston koko ketju vaarantuisi. Tällöin voidaan kuitenkin olettaa, ettei suurin osa käyttäjistä ole tällöin tehtävän tasalla, vaan voi suorittaa satunnaisen, yleensä sallivan, toiminnon. Tällöin koko käyttäjän väliintuloa vaativa mekanismi muodostaa uhan käyttäjän kannalta ja sen toteutusta palveluntarjoajan ja päätelaitevalmistajan täytyy tarkoin pohtia. Toisaalta liiallinen luottaminen varmenteihin voi mahdollistaa vanhojen sertifikaattien käytön vahingoittaviin tarkoituksiin, kuten ActiveX-tapauksessa1. Muita tärkeitä MHP:n turvallisuusominaisuuksia ovat varmenteet, resurssien käyttöluvat sekä kanavakohtaiset turvallisuusominaisuudet. Mikäli näitä osataan käyttää oikein, teknologian käyttö on tällä hetkellä suhteellisen turvallista. 3.2 Paluukanavan hallinta ja konvergenssin uhkat Esimerkki: Katsoja lataa palveluntarjoajalta haluamansa MHP-sovelluksen, joka on palveluntarjoajan digitaalisesti allekirjoittama. Allekirjoitusta ei tarkisteta päätelaitteessa, joten sovellus saa laajimmat mahdolliset oikeudet käyttää laitteen resursseja. Sovellus lataa paluukanavan kautta JPEG-muotoisen kuvan. Kuva on koodattu virheellisesti niin, että osaa sen sisältämästä datasta käsitellään käynnistettävänä koodina, kun kuvaa luetaan. Tämä koodiksi tulkittava osuus sisältää haittaohjelman, joka kaataa digisovittimen. Paluukanava ja siihen liittyvät uhkat kiteytyvät suurimmaksi osaksi Internet- protokollien käyttöön. Konvergenssin myötä digisovitin monipuolistuu. Jossain määrin se lähestyy kotitietokonetta; kovalevylliset mallit tarjoavat tallennustilaa, paluukanava- tyypit monipuolistuvat tulevaisuudessa ja prosessointiteho kasvaa. Kuitenkin ero kotitietokoneeseen tulee aina säilymään johtuen erilaisesta käyttötarkoituksesta. Resurssien suhteen digisovitin ei liene koskaan kotitietokoneen rinnalla, vaan kehitys kulkee jäljessä. 1 http://www.dataworldindia.com/html/activex.html 26 Tietoturvan kannalta paluukanava on digi-tv:n riskialttein kohta. Paluukanavan turvallisuuden varmistamiseen käytetään TLS-protokollaa (transport layer security), jonka myötä liikenne on salattua. Tyypillisestä www-selaimesta poiketen, TLS- yhteyden avaava MHP-sovellus ei tarkista palvelimen varmenteen oikeellisuutta (esimerkiksi voimassaoloaikaa), koska päätelaitteissa ei tällä hetkellä välttämättä ole tallennettuna juurivarmennetta, jota vastaan tarkistus voitaisiin tehdä. Sovelluksen mukana on mahdollista lähettää juurivarmenne, mutta se ei ole pakollista ja haitta- ohjelmien kohdalla tämä sisältää väärinkäyttömahdollisuuden vaikkapa itsegeneroitujen varmenneketjujen muodossa. Digisovittimien yksinkertaisuus lisää niiden turvallisuutta. Esimerkiksi porttiskannaukset yksinkertaisiin laitteisiin eivät ole järkeviä: bokseissa ei ole käynnissä sovelluksia, joihin porttiskannauksilla kannattaisi yrittää ottaa yhteyttä. Käytännössä tärkeimmät digi-tv:n paluukanavan toimintaan liittyvät tekniset ratkaisut ovat tällä hetkellä http- ja https-protokolla sekä sivunkuvauskieli xhtml, joka on xml- kieleen pohjautuva html:n parannus. Xhtml on ulkoasultaan tiukemmin määritelty kuin html. Http on kohtuullisen yksinkertainen protokolla, jonka toteutukset Internet- maailmassa ovat kohtuullisen toimintavarmoja. Eniten hankaluuksia ovat perinteisesti aiheuttaneet http:n laajennukset ja http:n päällä siirrettävien protokollien ja tiedosto- formaattien käsittely. Näiden toteutukseen voi liittää uhkia myös digi-tv:n kehitykseen liittyen. Http:n laajennuksista lähinnä evästeet voivat aiheuttaa käyttäjälle uhkan heidän yksityisyytensä kannalta, jos evästeitä käytetään käyttäjätottumusten ja profiilien muodostamiseen. Kun http toimii TLS:n/SSL:n päällä, uhkat liittyvät TLS:n toteutustason haavoittuvuuksien lisäksi digitaaliseen allekirjoitusjärjestelmään ja sen toteutukseen, joita on käsitelty laajemmin kappaleessa 3.1. Digi-tv:n paluukanavassa käytetään paljon http:n päällä siirrettävää sisältöä, esimerkiksi Xhtml, kuvaformaatit (GIF, JPEG, PNG), MPEG ja fonttiformaatti PFR [MHP]. Ainakin em. kuvaformaatit ovat melko monimutkaisia tiedostomuotoja, joiden käsittelyssä muissa sovelluksissa on esiintynyt haavoittuvaisuuksia, joilla formaattia tulkitseva sovellus voidaan ottaa haltuun vihamielisesti rakennetulla syötteellä. Html:n uhkat liittyvät html-koodin parsintatoteutuksen toimintavarmuuteen, joka on joutunut viimeaikoina tarkasteluun, ja jonka toteutuksista www-selaimissa on vastikään löytynyt jonkin verran haavoittuvuuksia. Xhtml:n ja xml:n tapauksessa vastaavia haavoittuvaisuuksia on myös löytynyt. Html:n päälle luotujen laajennusten tietoturva on vaihtelevan tasoista. Html:n itsensä lisäksi selaimet ovat monimutkaisia ohjelmia, joista tyypillisesti löytyy erilaisia haavoittuvuuksia. Uhkia ovat aiheuttaneet erilaiset aktiivista sisältöä tuovat laajennukset, kuten Java, Javascript, ActiveX sekä Macromedia Flash. 27 Toinen kriittinen piirre laajennusten kannalta on niiden toteutusten toimintavarmuus ja erityisesti helppo hallittavuus, jotta niiden toiminnat voidaan tarkasti rajoittaa. Tällä hetkellä MHP-standardissa ei käytetä tämän tyyppisiä laajennuksia. Palvelunkehittäjillä ja päätelaitetoimittajilla on halukkuutta lisätä digi-tv-laitteisiin paluukanavaa käyttäviä toimintoja, erityisesti erilaisia maksupalveluja kuten ostos- ja videontilauspalveluja. Tällaisten palvelujen uhkat ovat samankaltaisia kuin Internetissä toimivien pankki- ja kauppapalvelujen ja niiden kehityksessä tulisi seurata samankaltaisia ohjeita. Tietoturvauhkien voidaan todeta olevan siirtymässä loppukäyttäjäpäähän päätelaitteiden kehittymisen ja yleistymisen myötä. Kun laitteet muistuttavat entistä enemmän tavallista tietokonetta, ja ne ovat lisäksi suoraan internetyhteyden päässä, voidaan pitää varsin todennäköisenä, että tavalliset tietokoneiden uhkat ilmestyvät myös digi-tv-laitteiden riesaksi. MHP1.1:n käyttöönoton myötä riskit mahdollisille digisovittimissa esiintyville viruksille kasvavat. Digisovittimien yleistyminen lisää niiden kiinnostavuutta virusten kirjoittajien silmissä. Tyypillisiä haittaohjelmien tekijöiden tavoitteita voivat olla esimerkiksi laitteiden valjastaminen palvelunestohyökkäysten välikappaleeksi tai digisovitinroskapostin automaattiseksi lähetyspisteeksi. Digisovittimet ja niissä toimivat sovellukset toimivat tällä hetkellä Javan päällä, joten myös digisovittimia koskevat yleisesti Javan tietoturvaominaisuudet. MHP:ssa käytettävät Java-ohjelmat toimivat toistaiseksi omassa suojatussa ympäristössään, nk. hiekkalaatikossa. Tällä tavoitellaan sitä, että mikään haittasovellus ei pysty käyttämään luvallisia sovelluksia hyväkseen. Digisovittimien MHP-osuuden (Java-virtuaalikoneen) kaataminen esimerkiksi yksinkertaisella silmukkarakenteella on mahdollista. Koska vielä ei ole käytössä MHP-sovelluksen itsenäistä leviämistä digisovittimien välillä mahdollistavaa toimintoa, eivät itsenäisesti leviävät madot ole relevantti uhka. Mikäli digisovittimiin toteutetaan sähköpostimahdollisuus, tästä uhkasta tulee myös digi-tv-maailmassa konkreettinen. Kanavavaihdon yhteydessä digisovittimen ohjelmamuisti tyhjennetään, mikä ehkäisee haittaohjelmien pesiytymistä niihin. MHP1.0-standardissa on kuitenkin määritetty ns. persistent storage -rajapinta (pysyväismuistirajapinta), joka mahdollistaa allekirjoitetun sovelluksen kirjoittavan tiedostoja päätelaitteen pitkäkestoiseen muistiin, vaikka se joudutaankin lataamaan uudelleen päätelaitteeseen joka kerta, kun sovellus käynnistetään. Lisäksi MHP:n interapplication comminication -rajapinta (sovellusten välinen kommunikointirajapinta) mahdollistaa verkon yli välitettävät metodi-kutsut hyväksikäyttäen Javan RMI:tä. Tämä helpottaa sovelluskehittäjän työtä, koska toisessa virtuaalikoneessa ja tietokoneessa pyörivän Java-sovelluksen metodeja voidaan kutsua 28 samoin kuin paikallista, eikä kehittäjän tarvitse miettiä sovelluskohtaisen protokollien määrittelyä. Ilmeinen tietoturvauhka on kuitenkin olemassa, mikäli metodikutsujen välitystä verkon yli ei ole suojattu millään tavalla. Palvelinpään Java-sovelluksen täytyy kuitenkin RMI:tä käytettäessä luoda ja ottaa käyttöön Javan SecurityManager, muuten RMI-luokkien lataaminen ei ole sallittua. IP-datacasting PC-käyttäjille ja yrityskäyttöön soveltuvaan tiedonsiirtoon on yleistymässä Internet- protokollan käyttö DVB-verkon tiedonsiirrossa (ns. IP datacasting). Internetissä liikkuva sisältö voidaan paketoida televisioverkon lähetyspäässä osaksi DVB-T- lähetettä ja sisältö puretaan edelleen DVB-T-lähetteestä PC-vastaanotinkortissa. IP:n käyttö tiedonsiirrossa mahdollistaa esimerkiksi laajakaistaiset video streaming -lähetteet sekä suurien tiedostojen siirrot. Vastaanottimena IP-datacastingissa käytetään tällä hetkellä PCI- ja USB-väyläisiä tietokonekortteja. IP-datacastingin standardointityö on vielä kesken, mikä aiheuttaa omat haasteensa myös tietoturvalle. 3.3 Palvelunkehitysprosessi Esimerkki: Palveluntarjoaja koostaa palvelun käyttämällä monen eri valmistajan ohjelmisto- komponentteja. Näiden yhteentoimivuutta ei ole riittävästi testattu. Loppukäyttäjälle tämä näkyy aika- ajoin tapahtuvina päätelaitteen virhetilanteina ja sen epäluotettavana toimintana. Kun palvelusta tehdään uusi versio ja osa komponenteista korvataan uudemmilla versioilla, yhteensopivuusongelmat kasvavat entisestään, mikäli uutta versiota ei testata kattavasti. Järjestelmien ja palvelujen kehityksen jokaiseen vaiheeseen voi liittyä uhkia ja ongelmia. Systeemin konseptualisaatiovaiheeseen liittyviä riskejä ovat esimerkiksi tilanteet, joissa käytetään riskialtista kypsymätöntä teknistä ratkaisua tai vaihtoehtoisesti haetaan turvallisin mahdollisin ratkaisu ja tingitään uudempien teknologioiden tuomasta lisätoiminnallisuudesta. Vaatimusmäärittely ja systeemisuunnittelu ovat niin ikään keskeisiä vaiheita. Impelementointiin voi liittyä lukuisia ongelmakohtia, joita ovat mm. ohjelmointivirheet ja vääränlaiset kytkennät. Myös tukijärjestelmät muodostavat omia uhkiaan, jotka liittyvät heikkoihin ohjelmointikieliin ja huonoihin kehitystyökaluihin. Myös kolmansien osapuolten tekemien ohjelmakomponenttien käyttö voi aiheuttaa riskejä tietoturvan kannalta, jos niiden tietoturvatasoa ei tunneta. Systeeminsuunnittelun analyysiin liittyviä ongelmia ovat mm. väärät oletukset järjestelmän ympäristöstä ja ihmisten käyttäytymisestä sekä vialliset mallit ja simulaatiot. Toteutuksen analyysissä uhkan muodostavat lähinnä vääränlaiset testausmenetelmät. 29 Kehitykseen liittyviä ongelmakohtia ovat esimerkiksi hitaat uusien ylläpitotapojen omaksumiskeinot ja uusien virheiden omaksuminen vanhoja korjatessa. Myös järjestelmien käytöstä poistamiseen liittyy uhkia, kuten tarpeellisten osien liian aikainen alasajo tai piilossa oleva riippuvuus vanhasta versiosta, jota ei enää ole olemassa. 30 4. Ratkaisut digi-tv:n tietoturvauhkiin Tämä kappale käsittelee tärkeimpiä ratkaisuja ja arkkitehtuureita edellä esiin tulleisiin palvelunkehittäjän tietoturvaongelmiin. Koska täydellistä tietoturvaa on mahdoton saavuttaa, eivätkä mitkään ratkaisut voi olla pysyviä, voidaan esitettyjä ratkaisuja pitää vain hyvinä suuntaviivoina tietoturvan suunnittelussa. Tietoturvasta huolehtiminen asettaa monenlaisia vaatimuksia verkoille, palvelimille, laitteille, ohjelmistoille, järjestelmille ja menettelyille. Näiden kaikkien yhtäaikainen käsittely ja täydellinen hallinta on hankalaa ja sovellusalueesta riippuvaa, joskus jopa mahdotonta. Tämä tarkoittaa, että toiminnan järjestämiseksi kulloisessakin tilanteessa esiintyviä riskejä täytyy identifioida, hallita ja minimoida. Riskianalyysi on ehkä tärkein yksittäinen menetelmä, jolla tietoturvaa voidaan selkeästi parantaa. Riskiä ei yleensä voida kokonaan välttää, ellei kyseisistä toimista pidättäydytä kokonaan. Vastaavasti riskiä voidaan pienentää vaikuttamalla siihen, että riski toteutuisi mahdollisimman harvoin ja toteutumisen seuraukset olisivat minimoidut. Riskiä voidaan myös siirtää toiselle taholle sopimusteitse. Tyypillisimpiä sopimuksia ovat esimerkiksi kuljetus- ja alihankintasopimukset. Osa riskeistä on sellaisia, että ne joudutaan tai kannattaa pitää omalla vastuulla. Tällaisia ovat sähköisessä liiketoiminnassa tarpeellisten, Internetiin kytkettyjen palvelimien muodostamat riskit. Riskienhallintaa on myös varautuminen etukäteen – esimerkiksi työstää suunnitelma, miten edetään, kun palvelinta vastaan on hyökätty, ja miten vahingosta toivutaan mahdollisimman nopeasti ja pienin vaikutusaluein. Uudet ja yhdistelmätyyppiset tekniset ratkaisut muodostavat erittäin moninaisen kirjon mm. paluukanavan käyttöön. Tämä aiheuttaa kompleksisuutta ja ongelmallisuutta palvelunkehittäjien ratkaisuvalintoihin (esim. teknologia-alustojen valinnassa). Digitaalisen television luonne joukkoviestimenä nostaa sisällönsuojaukseen ja ohjelmalähteen tunnistamiseen liittyvät ratkaisut tärkeään rooliin. Palveluntarjoaja haluaa estää sisällön laittoman käytön ja toisaalta katsoja haluaa tietää, mistä kulloinenkin sovellus on peräisin sekä varmistaa päätelaitteensa häiriöttömän toiminnan estämällä tuntemattomien sovellusten lataamisen. DRM-tekniikoiden (Digital Rights Management) kehittymättömyys ja ennen kaikkea niiden huono yhteentoimivuus ovat rajoittaneet sellaisten palvelujen yleistymistä, joissa levitetään laillisesti tekijänoikeus- lain alaista materiaalia, esimerkiksi musiikkia digitaalisessa muodossa. Digitaalisen sisällön levitykseen liittyvät palvelut ovat hyvin houkuttelevia digi-tv:n katsojan näkökulmasta, koska digi-tv-verkko soveltuu erinomaisesti tämäntyyppisten palvelujen levityskanavaksi. 31 Palvelunkehittäjän tärkeimmät ratkaisut eri uhkaluokkiin on pyritty yhdistelemään seuraavissa taulukoissa, joista ensimmäinen on teknologialähtöinen ja toinen keskittyy palvelunkehittäjän tietoturvaprosessiin. 32 Taulukko 4. Teknologialähtöiset ratkaisut ja uhkat digi-tv:ssä. Tietoturva Kohde Turvafunktiot Turvakäsite Teknologia /Prosessi Vaikutus tietoturvaan Toteutustavat Päätelaite/L oppukäyttäjä Paluukanava Jakeluverkko Palvelunkehitysprosessi K orjaus Suojaus H avainnointi Saatavuus E heys L uottam uksellisuus Digitaalinen käyttöoikeuksien hallinta. • Kontrolloi sisällön laillista käyttämistä ja kopiointia. • Maksullisten sisältöjen levittäminen. DVB- CMCP,DRM, Conax. X X X X X X X X Ohjelmien digitaalinen allekirjoittaminen ja verifiointi. • Ohjelmien alkuperän ja eheyden varmentaminen. • Ohjelman saamien oikeuksien rajoittaminen päätelaitteessa. MHP-PKI. X X X X X X Si sä llö ns uo ja us Tallennetun datan salakirjoitus. • Tietoturvapolitiikan mukainen tiedon suojaus. • Yksityisyyden vaatimusten täyttäminen. Muistivälineiden salakirjoitus. X X X X X X Liityntä elektroniseen maksujärjestelmään. • Palvelun turvallinen liittyminen ulkopuolisiin maksujärjestelmiin. • Käyttäjän tunnistaminen. Tupas, HST. X X X X X X X Haittaohjelmilta suojautuminen. Virusten ja haitallisen sisällön kohdejärjestelmään pääsyn estäminen . Antivirus- ohjelmistot, sisällönsuodatus. X X X X X X X X X Yksityisyyden suojaaminen. Henkilötietolain ym. alaisten yksityistietojen suojaaminen. Käyttöoikeuksien hallinta, muistivälineiden salakirjoitus, tietoturvapolitiikat. X X X X X X X X Palvelimien ja lähetyslaitteiston suojaaminen. Verkosta tulevilta hyökkäyksiltä suojautuminen. Luottamuksellisen tiedon suojaus. Palomuurilla voidaan parantaa lähiverkossa olevan palvelimen tai muun laitteen suojausta. X X X X X X X X X H yö kk äy ks ilt ä su oj au tu m in en COFDM-lähetysten suojaaminen. Suurin riski päätelaitteen varusohjelmiston muokkami