Avoin lähdekoodi - turvallista vai ei?

Yhtä paljon kuin niihin "puolueettomiin" raportteihin, joiden mukaan linux on paljon turvallisempi kuin windows, ja avoin lähdekoodi on ratkaisu maailman kaikkiin tietoteknisiin ongelmiin.

Ei ole olemassa puolueetonta tutkijaa.

Tutkimuslaitoksen puolueellisuus ei sinällään _todista_ mitään, se voi vain lisätä tiettyjen hämärien osa-alueiden kyseenalaisuutta. Olennaista tutkimuksessa on sen toistettavuus.

Se vintoosa on siinä onneksi vain näyttämässä, ei tahdistamassa.

Tämä pitää varmasti paikkansa, mutta täytyy nyt muistuttaa miten olisi suljetun lähdekoodin tietoturvan kanssa. Totta kai siitäkin pystyy etsimään aukkoja, sekä murtautujat että murroilta suojautuvat. Mutta mites sitten niiltä aukoilta suojautuminen? Tietenkin sitä voidaan viritellä palomuureja tms. ohjelmia jotka estäisivät aukon hyödyntämisen, mikä on tietenkin mahdollista myös avoimen koodin ohjelmilla, mutta aivan joka reikään tälläinen ratkaisu ei onnistu. Vaihtoehdoksi jää lähettää ongelmakuvaus ohjelman kehittäjälle ja toivoa, että päivitys saadaan pian.

Avoimessa koodissa sen sijaan on se lyömätön etu, että potentiaaliset bugien korjaajat eivät rajoitu siihen firmaan, joka ohjelmaa kehittää. Näin ollen myös kaikki ohjelmaa käyttävät tahot ovat potentiaalisia bugikorjaajia, jolloin ohjelman parissa työskentelevien määrä voi olla huimasti korkeampi kuin suljetun lähdekoodin projekteissa.

Tietenkinhän näissä asioissa voi vaan yleistää, eikä näillä keskusteluilla voida vetää mitään johtopäätöstä yksittäisten ohjelmien paremmuuksista. Kyllä niitä huonosti tehtyjä ohjelmia löytyy, oli niiden lähdekoodi julkaistu tai sitten ei.

Kyseenalaiset premissit:

1) Kalle toimii yksin.

Suurin osa aukoista löydetään jossain ryhmässä. Kts. kohta 2.

2) Kallen löydökset pysyvät salassa.

Aukot tulevat yleensä joka tapauksessa julki ennemmin tai myöhemmin, tehtiin se sitten bugtraq:ssa tai ei. Tieto leviää "laillisia" tai "laittomia" teitä pitkin, jälkimmäisiin voi vaan olla "oikealla" asialla olevien vaikeampi päästä käsiksi.

3) Järjestelmät eivät kehity.

Joissain järjestelmissä käytetään enemmän aikaa bugien korjaukseen kuin uusiin ominaisuuksiin, esimerkkinä MS:n tietoturvakampanja.

Apachessa ja sendmailissa on varmasti vähemmän fataaleja bugeja per koodirivi nykyisin kuin viisi vuotta sitten.

4) Kalleja on yhtä monta kuin Paavoja.

Tästä mulla ei ole arvioita. Paavoja on luullakseni isoissa open source -projekteissa suhteessa osapuilleen sama määrä kuin firmoissa. Open source -porukoissa pieni aktiivinen porukka oikeasti auditoi koodia, ja muut käyttävät sitä tai kehittävät sitä eteenpäin tarkastelematta huolellisesti vanhaa. Firmoissa on yleensä samankaltainen työnjako.

5) Kallet ovat yhtä lahjakkaita kuin Paavot.

Suuri osa ns. kräkkereistä on melko taidottomia pösilöitä. He eivät välttämättä lue koodia samalla ammattitaidolla kuin Paavo.

6) Kaikki bugit ovat yhtä helppoja löytää.

Kauan markkinoilla olleista isoista open source -serveri-softista löytyy enenevissä määrin lähinnä vaikeasti löydettäviä integer overfloweja jossain harvinaisessa tilanteessa. Kaupallisista softista löydetään yhä rutiininomaisesti buffer overfloweja kättelyvaiheesta. Softissa on tässä tietysti eroja.

Yhden bugin löydettyään on muuten suhteellisen tavallista -- ja helppoa -- etsiä kaikki samankaltaiset bugit, joita on yleensä järjestelmissä useampia, joten prosessi ei ehkä ole aivan niin hidas kuin olettaisi. Jos on kyse open source -softasta, tieto bugityypistä ei ole "proprietary information", vaan jotain, jota kaikki muutkin voivat heti käyttää hyväkseen (tai pahakseen). Ajan myötä ainakin osa ihmisistä oppii varomaan tätäkin bugityyppiä.

7) Kaikki bugit aiheuttavat yhtä vakavan vaaran turvallisuudelle.

Jotkut bugit ovat ns. local exploitteja, jotkut mahdollistavat käyttäjän keksien lukemisen, jotkut mahdollistavat isoon palvelimeen murtautumisen.

8) Kaikki bugit ovat helposti hyödynnettävissä kaikissa olosuhteissa.

Jotkut bugit ovat hyödynnettävissä vain poikkeuksillisissa olosuhteissa, tai aikaavievillä operaatioilla. Kts. myös kohta 6.

9) Tietoturva on ongelma vain, jos joku kräkkeri hyödyntää sitä.

Sama bugi, jota kräkkeri voi hyödyntää, voi tulla vastaan myös, jos joku ihminen hyvässä uskossa antaa poikkeuksellisessa tilassa olevalle koneelle poikkeuksellisen syötteen. Tällä voi pahimmillaan olla fataaleja seurauksia. Koodin pitäisi olla virheetöntä useammastakin syystä. Jos tämä onkin vaikeaa, voi siihen kuitenkin vaikuttaa. Ei kukaan ole sanonut, että ihmisten tulee kirjoittaa joka päivä miljoonia riviä bugista koodia, jotta firmat voisivat kilpailla keskenään, sen sijaan, että keskityttäisiin ainakin joidenkin tärkeimpien olemassaolevien tuotteiden parantamiseen (ja otettaisiin niistä sitten ehkä isompi hintakin, such is life).

Ja ei, kysynnän ja tarjonnan lait eivät tässä juuri auta, jos ei kellään toimittajalla kilpailutilanteessa ole todellista mahdollisuutta keskittyä todella bugittoman softan tekemiseen, ja jos kuluttajat eivät ymmärrä, että toisinkin _voisi_ olla, jos osaisivat sitä vaatia. Monille teollisuustuotteille annetaan tiukkoja turvallisuusmääräyksiä, miksei sitten tietokone-ohjelmille?

Jos selvität, miksi nämä heikkoudet analogiassa eivät ole olennaisia, keksin mielelläni lisää.

- Heko

Eikö olisi kannattanut käyttää edes HIEMAN järkevämpiä numeroita esimerkissä? Jos Kalle käy töissä, hän käyttää töihinsä jo vuodessa ~1900 tuntia, nukkumiseen saman verran ja jäljelle jää ~5000 tuntia. Eli viidesosa vapaa-ajasta kräkkäämiseen. Ihan ok. Tuo Paavo vain tuntuu oudolta hepulta, kun ei tee mitään muuta kuin kräkkää, ja sitäkin onnistuu tekemään 1142 miestyövuoden verran yhdessä vuodessa. Silti 50000 alan ammattilaista saa tehtyä vain 11416 miestyövuotta vuodessa. Aika huonoja ovat siis.

Esimerkit on hyviä, mutta jos ne eivät ole realistisia, niissä ei ole järkeä.

Olisikohan kellonajalla mitään vaikutusta asiaan?) Muuten miksiköhän Sektorin uutiset alkavat tupsahdella puolenyön jälkeen?

Tai nukkumassa .)

Tieteen kuvalehdessä (uusin tai toiseksi uusin) oli ihan mielenkiintoinen juttu tilastoista, ja etenkin siitä, miten tilastoja voidaan käyttää tukemaan omaa kantaansa, sanoivat tilastot sitten käytännössä mitä tahansa. Vertauksia oli mm. OJ Simpsonin tapaukseen, erään eläinlajin yksilömäärään sekä pörssikursseihin.
Jutun luettuani tuntui kyllä vähän turvattomalta, kun ei oikein tiennyt enää mihin uskoa.

Eihän siinä nyt ole mitään uutta, että firmat lobbaavat näillä "puolueettomilla tutkimuksillaan" omia asioitaan eteenpäin. Tähän ralliin ei kuitenkaan tule lähteä mukaan (OSS-rintama) vääristel.. korjaan, kaunistelemalla tilastoja ja tuloksia. Open Sourcen suurin valttikortti on juuri avoimuus - myös tiedotuksen osalta. Mikäli rahan mahti (tm) ei peliä kokonaan onnistu viemään, uskon että tämä avoimuus muuttuu juuri siksi kortiksi, joka alkaa hyvinkin pian painamaan vaakakupissa, kun ihmisillä - joita päättäjätkin kuitenkin ovat, toivottavasti? ;) - alkaa nuo väitteiden ja faktojen ristiriidat ns. keittämään yli.

Vaikkakin on valitettavaa, että oli väite kuinka typerä tahansa, tarpeeksi toistettaessa siitä tuppaa muotoutumaan totuus..

Hmm. Ohjelmistoista virheitä etsii monta dekadia enemmän tahoja kuin niitä korjaa. Ja kunhan aukko on kerran löydetty niin yleensä on pikkujuttu korjata se ja julkaista patchi. Tämän vuoksi avoimen koodin softien aukot korjaantuvat niin nopeasti.

Vaikeaa taasen on suunnitella ohjelmisto alusta alkaen turvalliseksi, ja ottaa turvallisuusnäkökohdat huomioon koko kehitysprosessin ajan. Normaalin vähänkään isomman softan kehitystiimissä työskentelee kymmeniä ellei satoja ihmisiä, ja joka ainoan suunnittelijan ja ohjelmoijan pitäisi koko ajan pitää mielessä mihin kaikkeen tehdyt muutokset voivat vaikuttaa.

Windows-alustalla lisäongelmana on myös se että koko alusta on täynnä ongelmia ja komplikaatioita, koska sen alkuperäisiin suunniteluparametreihin ei tosiaankaan kuulunut turvallisuus. Lisäksi sen parissa on työskennellyt kymmeniätuhansia ihmisiä, ja jokainen kerta kun kukin näistä on tehnyt pikkufiban tai vain mennyt siitä missä aita on matalin lisää alustan epävarmuutta.

MIkä tahansa vakavasti otettava organisaatio tiedostaa riskit joita työkalun mahdolliset puutteet tai virheet, tahallisista vihamielisistä ominaisuuksista puhumattakaan aiheuttavat. Näinollen ko taho ei ota laajempaan käyttöön yhtäkään ohjelmistoa tai -moduulia ilman että sen turvallisuudesta on riittävät takeet.

Paljon järkevämpää terroristien on ujuttaa koulutettu henkilö vaikkapa Microsoftin palkkalistoille ja saada sitä kautta takaovi kaikkiin windowseihin.

Tämä tietenkin voi kestää useita vuosia, mutta ottaen huomioon kuinka pitkäjänteisesti terroristijärjestöt kouluttavat jäseniään lapsesta asti en epäile että

Avoimen koodin projektiin ko. takaovi on nopeampi ujuttaa (usein riittää vain saada oikeus tehdä CVS-committeja, ja sen saa suht helposti) mutta koodia lukee&testaa satoja/tuhansia ihmisiä ja riittää että yksi ainoa tyyppi löytää ongelman ja ilmoittaa siitä kehittäjien postituslistalle. Tietenkin suljettua järjestelmää julkaisevan yrityksen softia tarkastaa myös joukko ihmisiä, mutta heidän joukkonsa on paljon pienempi ja tunnetumpi, ja siten helpompi vakuuttaa katsomaan toiseen suuntaan.

Jo vähänkään suuremmalla yrityksellä, valtioista yms. puhumattakaan on resursseja kiinnittää yksi ihminen kokopäiväisesti pitämään huolta jonkin kriittisen sovelluksen sopivuudesta yrityksen käyttöön. Helppoa on myös pistää kaveri mukaan ko. softaa kehittävään organisaatioon. Tyyppihän voi olla alusta asti mukana valvomassa julkisen koodipuun lisäyksiä projektin normaalina jäsenenä.

Ja sitäpaitsi, missään vakavasti otettavassa organisaatiossa ei todellakaan oteta käyttöön mitään patcheja tai päivityksiä ennen kuin ne on todettu sopiviksi organisaation itsensä puolesta. Jokaisen kriittisen sovelluksen päivityksen ajaminen sisään organisaatioon on niin suuri työ että sitä ei ryhdytä tekemään "tuosta vain". Yleisesti päivityksiä ei oteta käyttöön ollenkaan, ellei niille ole jokin selkeä tarve.

Siis kyllä, oletan että kriittisten ohjelmistojen kaikki päivitykset tarkastetaan kooditasolla.

Eräässä Clancyn romaanissa on esitetty viihdyttävä skenaario siitä miten terroristijärjestö ujuttaa nukkuja-agentin jenkkien presidentin henkivartiokaartiin. Ko. skenaario on tietenkin vain fiktiota, mutta esittää potentiaalisen ongelman aika kätevästi.

Tai, tarkistavat kerran. Sen jälkeen eivät.

Ei tämä ole mikään mahdoton skenaario, kun katselee hiljattain ilmenneitä troijalaisia. autoconf yms. hirvitykset ovat tässä asiassa helvetti, koska päivitys autoconfiin aiheuttaa tuhansien rivien muutoksen configure- yms. skripteihin, joista softan "kuluttajan" on vaikea etsiä olennaisia ja epäolennaisia muutoksia.

Eri asia on sitten se, että voihan terroristi tai sellaiseksi myöhemmin rupeava pestautua myös yrityksen leipiin. Meillä on vähän tietoa siitä, millaisia troijalaisia on tungettu yritysten levittämiin executableihin, koska harvalla kuluttajalla on niistä esim. mdsummeja eri palvelimella ja harvalla kuluttajalla on mitään _mahdollisuuttakaan_ verrata niitä "alkuperäiseen".


Open source -projekteissa on yleensä tietty ydinporukka, jolla on esim. cvs- tai vastaavat oikeudet lähdekoodiin, ja muut lähettävät muutosehdotukset heille. Esim. linux-kernelin osalta voidaan sanoa, että kourallinen ihmisiä on vähintään silmämääräisesti lukenut läpi koodin, ettei siellä ihan mitään "seineew era sreenigne epacsteN"-juttuja ole.

Mikä sinua estää pistämästä sitä koodinpätkää suljettuun koodiin. Avoimesta lähdekoodista sen vielä voi periaatteessa lyöytää. Suljetusta ei.