Avoimen lähdekoodin OpeOffice.org -toimisto-ohjelmistosta on löydetty hyvin kriittinen haavoittuvuus. Sen avulla hyökkääjä voi saada suoritettua haitallista Java-koodia kohdejärjestelmässä. Haavoittuvuuden yksityiskohtia ei olla julkaistu.

Mahto nyt tulla nokkela olo?

Millon eyes make all bugs shallow...

Vieläköhän tuota viestiä kukaan uskoo, mikäli sitä nyt kukaan enää yrittää edes käyttää.

Asioita oikeasti seuraavat tietävät, ettei aukkoja ole tullut nykyään yhtään sen nopeampaa vauhtia kuin ennenkään. Lukekaa niitä postituslistoja, älkääkä postatko mutu-"tietoa".

Aukoista on vaan alettu uutisoimaan yleisissä uutispalveluissa useammin, koska OS-ohjelmien käyttö on räjähdysmäisessä kasvussa. Tämä ei tarkoita, että aukkoja olisi enemmän - niistä vain tiedotetaan nyt enemmän.

Kaupallisella puolella sama juttu, aukoista ei vain tiedoteta julkisesti - ne korjataan kaikessa hiljaisuudessa. Tietokonesoftat ovat reikäjuustoa ja bugista sontaa.

Näin se vain on.

Olet oikeassa, aiemmin niitä oli vieläkin enemmän, mutta niistä ei uutisoitu. Sen sijaan uutisoitiin avoimen lähdekoodin äänitorvien täysin katteetonta viestiä siitä että kyseiset softat olisivat muka jollain maagisella tavalla turvallisempia. Mitä ne eivät olleet.

Nyt kun niitä on alettu edes jossain mittakaavassa käyttää, hyppää maailman pahuus näistä reijistä sisään ja nyt on vain pakko uutisoida niistä ja kertoa totuus siitä, että pahikset menevät raamit kaulassa täsmähyökkäyksillä sisään firmoihin, jotka ovat valinneet käyttöönsä näitä mainioita ja turvallisia avoimen lähdekoodin ohjelmia.

En halua sanoa siitä yhtään mitään onko sujetut ohjelmat parempia kuin avoimet, mutta sen haluan sanoa että suomalaista voi pettää vain yhden kerran, ensimmäisen ja viimeisen. Siksi minusta oli moraalitonta että muutama vuosi sitten puhuttiin avoimen lähdekoodin turvallisuudesta sellaista markkinointituubaa ettei kukaan kaupallinen toimija ollut niin paljon valehdellut kymmeneen vuoteen, poislukien Oraclen Unbreakable -kampanja.


Niin, niitä oli ennen katastrofaalisen paljon, nyt niitä on enää aivan liikaa. Avoimen lähdekoodin softien käyttö ei kylläkään ole mitenkään räjähdysmäisesti lisääntynyt, poislukien Firefox - joka yleistymisensä jälkeen on alkanut osoittautua aina vain ongelmallisemmaksi tapaukseksi. Aivan kuin sen kehittäjät olisivat jääneet lomalle tai vetäytyneet Googlen rahoilla asumaan Karibialle. Selain on edelleen muistisyöppö, ajoittain hidas, reikiä löytyy enemmän kuin Operasta tai IE:stä ja korjauksiin tulee korjauksia ja korjauksen korjauksia.

Aukoista tiedottaminen on todellakin välttämätöntä, koska on ihmisiä joiden tulee tietää näistä asioista. Niitä ei voida enää painaa villasella, niin kuin aiemmin tehtiin.


Kyllä noista tiedotetaan, ainakin jos yhtään katsot CVE:tä tai MITRE:ä tai kysy CERT:iltä, saat vastauksen ihan suomeksi. Eivätkä kaikki softat ole reikäjuustoa, itse asiassa moni sellainen jota on kritisoitu tietoturvasta viime vuosina on nyt parantanut ihan kärkipäähän. Oraclen osalta nyt kuitekin todettakoon että tekojen sijaan Oracle mainosti vuosia olevansa Unbreakble ja nyt julkaisee kymmeniä korjauksia joka erässä. Sen sijaan Windowsit ja vaikka paljon haukuttu IE(7) ovat jo varsin hyviä, kritiikki on siis tehnyt tietoturvalle sen mitä pitikin.

Noistakin voidaan keskustella loputtomiin, mutta se mikä jokaisen pitäisi tajuta näiden keskustelujen savuverhon takaa on se että yli 80% vakavista tunnetuista haavoittuvaisuuksista on sovellusohjelmissa, ei käyttöjärjestelmissä. Kuten esimerkiksi tässä uutisessa OpenOfficessa.