Maailman pahin tietoturva ongelma on nyt _todistettavasti_ ollut kolme vuotta _kaikille_ osaaville avoimena, nimenomaan avoimen koodin muodossa.
Aiemman viestini pointti oli nimenomaan se, että tietoturvan kannalta mennään ehkä pahemminkin metsään kun aletaan olettamaan, että tuota avointakoodia tutkii tosiaan kaikki kynnelle kykenevät. Ajattele kuinka laajasti OpenSSL:ää on käytetty. Mielettömät määrät myös kaupallisia sovelluksia ja koodi on vain "siepattu" käyttöön, kun kaikki muutkin sitä käyttää. Senhän täytyy olla turvallinen?? Nähtävästi näin ei todellakaan aina ole. Ei vaikka sen ylläpitäjille on lahjoitettu aika paljonkin rahaa vuosittain.
Onko Heartbleed bugi todellakin ollut kaikkien aikojen pahin tietoturva bugi? Minulle on jäänyt se vaikutelma, että bugi oli potentiaalisesti todella paha, mutta sen todelliset seuraukset ovat käytännössä olleet vain spekulatiivisia. Ei ole todisteita, että sitä olisi käytetty ennen kuin se paljastettiin koodin auditoinnin ansiosta. Jos OpenSSL olisi ollut suljettua koodia, Heartbleed bugia ei olisi löydetty eikä korjattu.
Mitä taas tulee OpenSSL:n kustannuksiin, ongelma on ollut nimenomaan se, että sitä ei ole rahoitettu missään suhteessa sen käytön määrään ja tärkeyteen. OpenSSL:n johtajan Steve Marquessin mukaan OpenSSL on rahoitus on muodostunut lahjoituksista ($2000 vuodessa) sekä erityisistä tuki- tai konsultointiisopimuksista, joissa osa-aikaiset työntekijät auttavat asiakkaita, joilla on erityisiä tarpeita. Vuosibudjetti ei ole koskaan ylittänyt miljoonaa dollaria. Projektin kehittäminen kuuluu ryhmälle, jossa työskentelee yksi kokopäiväinen työntekijä ja 10 vapaaehtoista ohjelmoijaa.
Avoin koodi on tietoturvan kannalta paras vaihtoehto kunhan vain sitä koodia oikeasti käydään lävitse. Avoimessa koodissa luotetaan koodiin, suljetussa koodissa luotetaan sen tekijöihin. Molemmissa tapauksissa koodiin voi yrittää ujuttaa jotakin, mutta avoimessa koodissa paljastumisen riski on kuitenkin aivan eri luokkaa.