Bugijahti on hyvä ja huono homma
19.1.2007 13:18 (päivitetty 13:20) Onko oikein, että joku ottaa asiakseen tuoda järjestelmällisesti julkisuuteen paikkaamattomia haavoittuvuuksia? Parannetaanko sillä ohjelmien tietoturvaa – ja jos parannetaan, niin millä hinnalla?
Bugikuukausiprojektit aloitti viime kesänä Month of Browser Bugs. Sitä seurasi marraskuussa Month of Kernel Bugs.
Viimeisin bugikuukausi, Month of Apple Bugs, etsii tammikuun ajan ongelmia Mac-tuotteista.
MoAB on ehtinyt saada monen Mac-mielisen liikkeelle ja raivoihinsa, mutta paheksuntaa on herunut muiltakin. Kaikki eivät lainkaan hyväksy haavoittuvuuksien julkaisemista. Myös aiemmat bugijahdit ovat nostattaneet vastalauseita.
Kuten tavallista, asiassa on hyvät ja huonot puolensa.
Kuka hyötyy?
Bugijahdit kyllä asettavat paineita ohjelmistovalmistajille. Haavoittuvuuksien julkistaminen ei voi jäädä valmistajilta huomaamatta, saati niiden ohjelmien käyttäjiltä. Tiedon julkistaminenhan on hyvä asia, eikö niin?
Toinen asia on se, saavutetaanko julkaisuilla enemmän hyvää vai pahaa.
Jos haavoittuvuus julkaistaan, ohjelmistovalmistajalla on isompi kiire korjata se kuin jos se olisi julkaistu yhtiölle kaikessa hiljaisuudessa etukäteen. Mutta kenen etu sitten on se, että haavoittuvuus vain korjataan mahdollisimman nopeasti?
Jos tuloksena on hätäinen korjauspäivitys, siitä ei hyödy kukaan. Jos päivityksen tekeminen kestää haavoittuvuuden julkaisemisesta huolimatta kauan, rikolliset keräävät hyödyn. Jos käy niin, että haavoittuvuus korjataan ripeästi ja hyvin, lopputulos on olosuhteisiin nähden mahdollisimman hyvä.
MoAB hymähtelee sivustollaan avoimesti arvostelulle. Kuten asiaan kuuluu, MoAB:n takana olevat LMH ja Kevin Finisterre perustelevat hanketta sillä, että paljastamalla ohjelmien heikkoudet niitä voitaisiin parantaa.
Ongelmana on tietysti se, että verkossa julkaistut haavoittuvuudet ovat yhtä hyvin väärinkäyttäjien kuin ohjelmistoyhtiöiden ulottuvilla. Tämä on samalla koko julkistamisajatuksen ydin; ilman tuota uhkaa ohjelmistoyhtiöitä ei ehkä saataisi korjaamaan ohjelmiaan ja – mikä ehkä vielä tärkeämpää – myöntämään syyllisyyttään. Siis nöyrtymään.
Egotrippejä ja turvotusta
Nöyryyttämisestä tässä taitaa sittenkin olla ”mikrotasolla” kyse, ja turvonneista egoista. Olisiko niin, että tietokoneistuneessa maailmassa osa ihmisistä olisi äkkiä huomannut, että heillä on kykyjä, jotka tuovat heille valtaa?
Kun kaikki ovat verkossa, kaikki on kaikille yhtäkkiä käsien ulottuvilla. Maailma on avoinna osaavalle, monessakin mielessä.
Ensi näkemältä äärimmäistä demokratiaa, mutta tarkemmin ajatellen ihan jotakin muuta. Se, että kaikilla on periaatteessa mahdollisuus monenlaiseen tekemiseen verkon avulla, ei tarkoita, että heillä olisi siihen realistiset mahdollisuudet.
Paitsi että bugijahti voi tuo kuuluisuutta omien keskuudessa, se voi tuoda myös onnistumisen elämyksiä ja tunteen siitä, että saa kyykyttää kasvotonta jättiyhtiötä, jonka pelkkää olemassaoloa on tottunut vihaamaan.
Toisaalta turvoksissa ovat ohjelmistovalmistajatkin, jos ne ajattelevat, että niillä on varaa olla ottamatta haavoittuvuudet riittävän vakavasti.
Vastuullinen julkaiseminen tarkoittaa tässä sitä, että haavoittuneen ohjelman valmistajalle kerrotaan haavoittuvuudesta hyvissä ajoin ennen sen julkistamista verkossa. Näin valmistajalle jää aikaa korjata ongelma ennen kuin siitä tulee yleistä tietoa.
Bugijahtien viesti on se, että jos yritys ei reagoi ”vastuullisesti” tiedotettuihin haavoittuvuuksiin, ne julkaistaan. Tuli mitä tuli.
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- 23.5. Oracle hävisi Googlelle taas: Ei patenttirikettä
- 23.5. Apple ja Samsung epäonnistuivat neuvotteluissa
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nokia julkaisi uusia ”luksuskarkkeja”
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 23.5. Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina
- 25.5. Lumialla voi katsella videoklippejä
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Sony avaa perjantaina Spotify-kilpailijan iPhoneen
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Amerikkalaiset kaapelioperaattorit yhdistävät wlan-palvelunsa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uusimmat uutiset
- Cukurovan ote ei kirpoa Turkcellin vallan kahvasta 11:00
- Twiittaileva Murdoch sättii Obamaa ja Googlea 10:55
- Homovastainen kirkko protestoi Jobsin hautajaisissa 09:41
- Skype ostaa GroupMe-ryhmäviestiyhtiön 08:48
- Applea vastaan aktivismipäivä Suomessa 14:02
- Kiina kielsi ihmisoikeus-sanan tekstiviesteissä 15:23
- Asbestikalsarit liekeissä 15:42
- Lasten paikannusranneke pelottaa ja houkuttaa 11:03
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Piilaakson palkoilla Tampereella
25.05.2007 Tutkija voi tehdä uran piilaaksossa myös Suomessa, jos muutto ulkomaille ei houkuta
Kolme vuotta sitten
Matti Nikki ei päässyt poliisin sensuurista
26.05.2009 Kansalaisten sähköisiä oikeuksia puolustava Electronic Frontier Finland joutui jälleen keräämään silmänsä lattialta. Yhdistyksen viimeisin ihmettelyn aihe on hallinto-oikeuden päätös, jonka mukaan Matti Nikki ei voi valittaa joutumisestaan internet-sensuurin kohteeksi.
Taloussanomat
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- Haluatko menestyä? Unohda nämä koulun opit 16:35
- Lumia 900:n myynti alkoi: "Näyttää erittäin lupaavalta" 06:03
- IMF-pomo: Olen enemmän huolissani Afrikan lapsista kuin kreikkalaisista 15:54
- Kevään epämukavin pikku-Fiat 06:15
- Oikeus päätti: Tekstarin lähettäjä syytön onnettomuuteen 10:13
- HS: Palkkakuilu levenee kovaa vauhtia 09:43
- Vain yksi pankki lellii asuntovelkaista korkokikkailijaa 06:01
- Taloussanomilta KHO-valitus VM:n vakuuspäätöksestä 12:58
- » Taloussanomat.fi
Kommentit (2)