Viimeinen viikko on ollut Joomla! -julkaisujärjestelmän käyttäjille vaikeaa aikaa. CERT-FI varoitti Joomlan haavoittuvuudesta lauantaina ja IT-viikko uutisoi siitä eilen. Valitettavasti tietoturva-aukoista varoittaminen tapahtuu aina enemmän tai vähemmän myöhässä. Aukot kun tulevat esille vasta sitten, kun niitä on jo hyödynnetty.

Tässä eräs ilmeisen tyypillinen tosielämän tarina (lähde):

Elikkäs joku ystävällinen kaveri on käynyt hakkeroitumassa sivuilleni, pääsivulla lukee vain: HackeD By *hakkerin nimi poistettu ylläpidon toimesta*

En pääse kiinni joomlaan, versio 1.5 jotain, vaikka admin käyttöliittymä toimii, ehkä salasanat on vaihdettu.
Pääsen sivustoon kiinni ainoastaan FTP:llä.

Toivottavasti Joomlan käyttäjillä on varmuuskopiot kunnossa.

Joomlan haavoittuvuudet eivät sinänsä ole uutinen, sillä Joomla on ollut jo pari vuotta hakkerien kohteena. Aiemmin kohteeksi ovat joutuneet esim. Joomla.org (2007) sekä Joomlaportal.fi (2006). Joomlan ongelmat ovat jopa synnyttäneet markkinan yrityksille, jotka korjaavat hakkeroituja Joomla-sivustoja.

Se, että Joomla on hakkerien kynsissä, ei tarkoita sitä, että Joomlan ohjelmakoodi olisi tietoturvaltaan sen huonompi kuin muidenkaan julkaisujärjestelmien. Avoimen lähdekoodin vuoksi hakkerit voivat kuitenkin etsiä ohjelman haavoittuvuuksia kenenkään estämättä. Sama ongelma on ollut muillakin open source -ohjelmilla, esimerkiksi Mambolla ja phpBB-keskustelufoorumilla.

Tällä hetkellä Joomla ei näytä turvalliselta valinnalta www-sivuston julkaisujärjestelmäksi. Tietoturvan kannalta kaikki suositut open source -ohjelmat ovat riskialttiita, sillä suosio lisää hakkereiden kiinnostusta niiden murtamiseen. Jos minulta kysytään, niin kannattaa valita jokin ei-avoimen lähdekoodin, ei-laajalle levinnyt, mutta ominaisuuksiltaan kilpailukykyinen ja helppokäyttöinen julkaisujärjestelmä, esimerkiksi Innowise CMS.

Viime aikoina YLE Areenassa on ollut useita käyttökatkoksia. Tänään jotain tuntuu menneen pahemmin vikaan, sillä tätä kirjoittaessa Areena ei ole toiminut moneen tuntiin. Pari tuntia sitten Areenasta tuli oheinen Drupal-julkaisujärjestelmän virheilmoitus, josta käy ilmi, että ongelma liittyy MySQL-tietokantapalveluun. MySQL:n virheilmoituksena oli kolme sanaa: Too many connections. Siis liian paljon yhteyksiä MySQL-palvelimeen.

Tuosta virheilmoituksesta voi helposti tehdä sen virheellisen johtopäätöksen, että syy on MySQL:ssä. Mutta hetkinen. MySQL selviytyy kyllä paljon suuremmistakin vaatimuksista kuin mitä Areena sille asettaa. MySQL:n referenssit puhuvat selvää kieltä. MySQL:n kyykyttämiseen tarvitaan jotain paljon suurempaa kuin mihin YLE:llä on edes taloudellisia resursseja.

Eli vika ei ole MySQL:ssä, vaan tavassa, jolla sitä käytetään. Ilmoitus Too many connections tarkoittaa yksinkertaisesti sitä, että MySQL-palvelimeen on otettu maksimimäärä yhteyksiä. Maksimimäärä asetetaan MySQL-palvelimen konfiguraatiossa ja se sovitetaan lähinnä palvelinkoneen fyysisen tehon mukaisesti – tai jätetään oletusarvoisesti 100 yhtäaikaiseen yhteyteen. Yhteyksien maksimimäärän saavuttamiseen voi olla useita syitä. Todennäköisin syy on kasvaneet käyttäjämäärät. Toisaalta voidaan kysyä, käyttääkö Drupal yhteyksiä tuhlailevasti ja jättääkö se auki turhia tietokantayhteyksiä. Mutta jos näin onkin, niin virhetilanteet voidaan välttää yksinkertaisesti lisäämällä palvelimen hardware-resursseja.

YLE:n kannalta kyse on luultavasti kokemattomuudesta Drupalin ja MySQL:n käytössä. Ilmaisten ja open source -pohjaisten järjestelmien käyttö on varmasti vielä suhteellisen tuore asia YLE:llä. Mutta joka tapauksessa virhetilanne johtuu sellaisesta osaamattomuudesta, jota ei YLE:ltä voi hyväksyä. Ja jos virhetilanne tapahtuukin, niin sen tuloksena ei saisi näkyä Drupalin oletus virheilmoitus, jonka teksti on tavalliselle käyttäjälle käsittämätöntä, ja jossa vieläpä kerrotaan Areenan käyttämän MySQL-palvelimen käyttäjätunnus ja osoite. Toivoa sopii, että aiemmista tapahtumista on otettu opiksi ja MySQL-palvelimen portit on suljettu ulkomaailmalta. En suosittele kolkuttelemaan niitä edes kokeilumielessä, sillä YLE:llä ollaan syystäkin vainoharhaisia sellaisesta toiminnasta.

Edit: Kello 15:06 Areena alkoi taas toimimaan. Etusivulla on tiedote: “Teknisten ongelmien vuoksi YLE Areenassa ei julkaista tällä hetkellä uusia ohjelmia. Pahoittelemme häiriötä.” Mutta miten uusien ohjelmien lisääminen liittyy MySQL:n yhteyksien maksimimäärän ylittymiseen?! :S Kuulostaa lähinnä varotoimelta, joka tehdään siksi aikaa, että tietokantapuoli on taas joten kuten kunnossa.