Mikä on vapaiden ohjelmien tulevaisuus?

[Heikki Ketoharju]

Kävin puhumassa yleisötilaisuudessa vapaista ohjelmista, ja kirjoitin nopean blogipostauksen aiheesta. Tuolla oli siis lähinnä muuta väkeä kuin nörttejä, joten kovin syvällisiin en voinut mennä – enkä ehkä olisi halunnutkaan.

Tuli kuitenkin puhuttua NSA-valvonnasta sekä suurten verkkopalvelujen kuten Facebookin käyttäjiä kunnioittamattomasta asenteesta. Koska tilaisuus oli talousaiheinen, pohdintani pitää sisällään myös ajatuksia siitä, miten ohjelmia pitäisi tuottaa. Itse ajattelen, että julkisen puolen pitäisi nyt investoida voimakkaasti ohjelmistotuotantoon – korjattavaa kyllä riittäisi valtionhallinnon tietojärjestelmissä. Tämä auttaisi myös irroittautumaan Microsoftista ja muista isoista firmoista, joiden kautta tiedot helposti menevät NSA:n valvontaan.

http://heikki.ketoharju.info/2014/03/ohjelmien-on-oltava-vapaita-ja-hajautettuja/

Onko kommentteja näihin näkemyksiin? Missään nimessähän nämä eivät ole valmiita tai lopullisia, vaan enemmänkin ideoita, mihin suuntaan ohjelmistokehitystä pitäisi viedä ja miten.

[kx]

Eipä tuo linkki toiminutkaan.

Mutta hiukan tähän asiaan sivuten. Minua ihmetyttää kyllä nämä jatkuvat päivittäin tulevat päivitykset tähän Ubuntu 14.04:een. Onko niiin, että jos Canonical ei olisi kuviossa mukana, niin päivityksiä ei tulisi lainkaan? Tuleeko muihin Linux-ohjelmaversioihin, redhat, jne..., mitä onkaan, samassa tahdissa päivityksiä. Kuka niitä tuottaa?

Kuinka kauan Canonical haluaa pitää toiminnan "vapaana" ennenkuin myy järjestelmän vaikkapa YP:lle.?

Oikeusministeriö käytti muutama vuosi sitten OpenOfficea ja kai rahoittikin sen kehitystä ja ylläpitoa valtionhallinnon alallaan. Onko kuitenkin niin, että pitemmän päälle nämä käyvät ylivoimaiseksi poliitikoille,, koska yksityistä liiketoimintaa on saatavilla, eikä säästönäkökohtia arvosteta riittävästi.

Luulisi, että panostamalla Suomessa esim Linux  Subuntun (suomalainen ubuntu) ylläpitoon, saataisiin peruskouluissa koulutettua koodaajaa yms osaajaa ja uutta teknologiaa syntyisi savuaville raunioille.

[mrl586]

Debian Sidiin tulee varsin usein päivityksiä vapaaehtoisten kehittäjien toimesta.

[luxudueu]

Luulisi, että panostamalla Suomessa esim Linux  Subuntun (suomalainen ubuntu) ylläpitoon, saataisiin peruskouluissa koulutettua koodaajaa yms osaajaa ja uutta teknologiaa syntyisi savuaville raunioille.

Subuntun sijaan ottaisin askelen pidemmälle, ja antaisin äänen Pubuntulle (pohjoismainen Ubuntu), jopa EUbuntulle. Kansalliset käännökset kuitenkin pikku juttu. Riittävän pitkällä siirtymällä osaamisenkaan luulisi ongelmaksi muodostuvan, vrt. Munchen ja kumppanit. Tietojärjestelmien EU:n laajuinen yhdistäminen vapaalle alustalle mahdollistaisi tähtitieteelliset säästöt, talouskurimukselle keskisormea. Ongelmahan tässä on typerät päättäjät. Ja lobbaajien puute. Resursseja lobbaukseen jostakin, mutta mistä?

[kx]

Eubuntu voisikin olla hyvä idea. Kuitenkin yhteistyötä jäsenmaiden välillä tulee olemaan jo lähtökohtaisesti, joten yhteinen käyttöjärjestelmä olisi askel tavoitella todellista vapautta nykymaailmassa.

[qwertyy]

Siksi tulevaisuudessa ohjelmistojen tulisikin olla vapaita – siis avointa lähdekoodia. Näin yksityisyyttä loukkaavien ominaisuuksien piilottaminen ohjelmiin on hankalampaa.

Niin kauan kuin tieto liikkuu netissä, eli jatkuvasti enemmän, niin eipä tuolla mitään käytännön merkitystä ole. Ei myöskään ole oikein mitään näyttöä siitä, että avoin lähdekoodi mitenkään takaa tietoturvaa. Otetaan esimerkkinä vaikkapa OpenSSL ja Heartbleed bugi. Yli kolme vuotta auki ollut bugi. Ja historian pahimman tietoturvauhan huomasi Google ja kotimainen Codenomicon. Kummatkin kaupallisia yrityksiä. Avoimella koodilla on myös merkittävät huonot puolet. Koodia voi myös kuka tahansa tietomurroista kiinnostunut henkilö tutkia ja löytää kohteet.

Pelkkä koodin avoimuus ei riitä, vaan lisäksi järjestelmien on oltava hajautettuja – siihen tyyliin kuin sähköposti ja IRC. Näin valta ei keskity liiaksi yksittäiselle toimijalle, ja toisaalta järjestelmät muuttuvat pitkäkestoisemmiksi.

Kortin kääntöpuolena. Kuka takaa näiden pienempien toimijoiden ammattitaidon? Onko heillä sitten varmasti resursseja tehdä auditointeja järjestelmiin?

En toki väitä etteikö avoimessa koodissa ole todella merkittäviä etuja, mutta minusta on myös suorastaan täysi valhe väittää, että se on ainoa oikea ratkaisu kaikkeen ja että se takaa tietoturvan tai yksityisyyden. Höpö höpö.

[jekku]

----
En toki väitä etteikö avoimessa koodissa ole todella merkittäviä etuja, mutta minusta on myös suorastaan täysi valhe väittää, että se on ainoa oikea ratkaisu kaikkeen ja että se takaa tietoturvan tai yksityisyyden. Höpö höpö.

Tuo on helppo allekirjoittaa.
Kun _aina_ on enemmän kuin yksi vaihtoehto.

Ja mikään ratkaisu ei ole se "paras kaikkeen".

[Karvameduusa]

Nykyisin tietoturva ja yksityisyys suurimmat ongelmat johtuvat ulkopuolisista palvelun tarjoajasta. Jos nämä eivät ylläpidä kunnolla omia järjestelmiään. Seuraukset voivat olla vakavia.

Käyttäjä voi toki omilla internet käyttäytymisellä vaikuttaa omaa tietoturvaan ja yksityisyyteen.

Aiheeseen liittyen:
http://www.youtube.com/watch?v=4HFzQJiusUw

[Heikki Ketoharju]

Jaahas, onpa tosiaan omat nettisivuni kaatuneet! Pitää ottaa huomenna soitto operaattorille.

Mutta itse asiaan.

Ketjussa on hyvin todettukin, että juuri julkisen puolen kannattaisi tehdä omia käyttöjärjestelmiään. Tästä olen ehdottomasti samaa mieltä, ja minusta pitäisi myös ottaa vakavasti se mahdollisuus, että Linuxia on helppo muokata. Niinpä myös vaikka Suomen sisällä voisi olla hieman erilaisia versioita eri tarpeisiin – kuten nytkin on esim. Xubuntua, Lubuntua tai Ubuntu Studiota. Tärkeää olisi myös kehittää omia avoimia tietojärjestelmiä ja pääteohjelmia, ei pelkkää käyttistä.

Siksi tulevaisuudessa ohjelmistojen tulisikin olla vapaita – siis avointa lähdekoodia. Näin yksityisyyttä loukkaavien ominaisuuksien piilottaminen ohjelmiin on hankalampaa.

Niin kauan kuin tieto liikkuu netissä, eli jatkuvasti enemmän, niin eipä tuolla mitään käytännön merkitystä ole. Ei myöskään ole oikein mitään näyttöä siitä, että avoin lähdekoodi mitenkään takaa tietoturvaa. Otetaan esimerkkinä vaikkapa OpenSSL ja Heartbleed bugi. Yli kolme vuotta auki ollut bugi. Ja historian pahimman tietoturvauhan huomasi Google ja kotimainen Codenomicon. Kummatkin kaupallisia yrityksiä. Avoimella koodilla on myös merkittävät huonot puolet. Koodia voi myös kuka tahansa tietomurroista kiinnostunut henkilö tutkia ja löytää kohteet.

[/quote]
Olen itse pohtinut tätä asiaa jonkin verran, ja ensimmäiseen puoleen on helppo vastata: myös suljetuissa ohjelmistoissa voi olla vuosikausia tuollainen bugi. Erona on, että ulkopuolinen toimija ei niitä bugeja kykene löytämään. Sillä ei mielestäni ole hirveästi merkitystä, onko bugin löytäjä kaupallinen yritys, harrastelija, vai julkisen sektorin toimija. Potentiaalisesti se voi olla kuka vain, ja Heartbleed on myös esimerkki siitä, että yksityinen yrityskin voi hyödyttää avoimen koodin yhteisöä.

Tuo, että avointa koodia voi kuka tahansa tutkia, on totta. Kysymys kuuluukin: kumpia on enemmän: aukkoja etsiviä rikollisia, vai aukkoja etsiviä paikkaajia? Tähän on mahdollista yhteisillä päätöksillä vaikuttaa.

Pelkkä koodin avoimuus ei riitä, vaan lisäksi järjestelmien on oltava hajautettuja – siihen tyyliin kuin sähköposti ja IRC. Näin valta ei keskity liiaksi yksittäiselle toimijalle, ja toisaalta järjestelmät muuttuvat pitkäkestoisemmiksi.

Kortin kääntöpuolena. Kuka takaa näiden pienempien toimijoiden ammattitaidon? Onko heillä sitten varmasti resursseja tehdä auditointeja järjestelmiin?

En toki väitä etteikö avoimessa koodissa ole todella merkittäviä etuja, mutta minusta on myös suorastaan täysi valhe väittää, että se on ainoa oikea ratkaisu kaikkeen ja että se takaa tietoturvan tai yksityisyyden. Höpö höpö.

[/quote]
Nyt täytyy olla tarkkana. Ensinnäkään en hajautettuja järjestelmiä vaatiessani tarkoittanut, että järjestelmät olisivat pienten toimijoiden tekemiä. Esim. Helsingissä olemme vaatineet, että kaupunki tekisi omaa softaa. Helsingillä on kymmeniä tuhansia työntekijöitä, eli mistään pikkulafkasta ei todellakaan ole kysymys. Silti Helsinki on vain yksi, pienehkö eurooppalainen kaupunki. Millaisia hajautettuja järjestelmiä ja ratkaisuja voitaisiin Euroopan tasolla tehdä? Myös Suomessa on muitakin isoja julkisia toimijoita kuin Helsinki.

En myöskään väittänyt, että avoin koodi takaa tietoturvan tai yksityisyyden. Se nimenomaan ei sitä takaa, vaan on ainoastaan ensimmäinen askel näiden turvaamiseen. Kannattaa muistaa, että kaikissa keskeisissä suljetuissa järjestelmissä on tänä päivänä takaovia. Avoimen koodin järjestelmissä on sentään mahdollisuus, että ne ovat turvallisia.

***

Tuo Hyppösen puheenvuoro on mielenkiintoinen, kuten Hyppösen jutut muutenkin, ja ehdottomasti suositeltavaa. Kannattaa panna merkille, että hän nostaa esiin eurooppalaisen softatuotannon puutteen. Olen tasan samaa mieltä, ja mielestäni juuri avoimeen lähdekoodiin ja vapaisiin ohjelmistoihin perustuvat hajautetut järjestelmät olisivat se oikea tapa, jolla Eurooppa voisi lähteä kehittämään omaa ohjelmistotuotantoa.

[qwertyy]

Kannattaa muistaa, että kaikissa keskeisissä suljetuissa järjestelmissä on tänä päivänä takaovia. Avoimen koodin järjestelmissä on sentään mahdollisuus, että ne ovat turvallisia.

Tuo nyt kyllä on erittäin skeptisesti muotoiltu. Miten voi väittää, että ihan kaikissa näissä olisi takaovia? En toki väitä etteikö varmasti jossain niitä olisi toteutettukin, mutta kuten jo mainitsin.

Maailman pahin tietoturva ongelma on nyt _todistettavasti_ ollut kolme vuotta _kaikille_ osaaville avoimena, nimenomaan avoimen koodin muodossa.

Aiemman viestini pointti oli nimenomaan se, että tietoturvan kannalta mennään ehkä pahemminkin metsään kun aletaan olettamaan, että tuota avointakoodia tutkii tosiaan kaikki kynnelle kykenevät. Ajattele kuinka laajasti OpenSSL:ää on käytetty. Mielettömät määrät myös kaupallisia sovelluksia ja koodi on vain "siepattu" käyttöön, kun kaikki muutkin sitä käyttää. Senhän täytyy olla turvallinen?? Nähtävästi näin ei todellakaan aina ole. Ei vaikka sen ylläpitäjille on lahjoitettu aika paljonkin rahaa vuosittain.

Olisi ihan mielenkiintoinen sinänsä jos joku loisi auditointimielessä esim. näennäisesti luotettavan ja kokeneen oloisen koodaajan nettiin, joka alkaisi hissukseen tekemään reikiä upstreamiin. Kauanko menisi että asia huomattaisiin jos liikkeelle ei lähdettäisi ns. ahneesti, vaan luovuttamalla oikeasti ensin hyödyllistä koodia. Huomattaisiinko heti, vai menisikö OpenSSL:n tapaan vuosikausia, että joku asian huomaisi.


Takaisinpäin pienenä aasinsiltana. Jos esim. suomi alkaisi tekemään omaa koodiaan tai vaikka EU:n sisäisesti, niin miksi sen koodin nyt sitten pitäisi olla väen vängällä avointa? Siksi että myös jenkit, venäläiset jne. pääsisi hyödyntämään meidän sijoittamat paukut koodiin? Kuulostaa minusta taloudelliselta itsemurhalta.

[Lepotila zZ]

Maailman pahin tietoturva ongelma on nyt _todistettavasti_ ollut kolme vuotta _kaikille_ osaaville avoimena, nimenomaan avoimen koodin muodossa.

Aiemman viestini pointti oli nimenomaan se, että tietoturvan kannalta mennään ehkä pahemminkin metsään kun aletaan olettamaan, että tuota avointakoodia tutkii tosiaan kaikki kynnelle kykenevät. Ajattele kuinka laajasti OpenSSL:ää on käytetty. Mielettömät määrät myös kaupallisia sovelluksia ja koodi on vain "siepattu" käyttöön, kun kaikki muutkin sitä käyttää. Senhän täytyy olla turvallinen?? Nähtävästi näin ei todellakaan aina ole. Ei vaikka sen ylläpitäjille on lahjoitettu aika paljonkin rahaa vuosittain.

Onko Heartbleed bugi todellakin ollut kaikkien aikojen pahin tietoturva bugi? Minulle on jäänyt se vaikutelma, että bugi oli potentiaalisesti todella paha, mutta sen todelliset seuraukset ovat käytännössä olleet vain spekulatiivisia. Ei ole todisteita, että sitä olisi käytetty ennen kuin se paljastettiin koodin auditoinnin ansiosta. Jos OpenSSL olisi ollut suljettua koodia, Heartbleed bugia ei olisi löydetty eikä korjattu.

Mitä taas tulee OpenSSL:n kustannuksiin, ongelma on ollut nimenomaan se, että sitä ei ole rahoitettu missään suhteessa sen käytön määrään ja tärkeyteen. OpenSSL:n johtajan Steve Marquessin mukaan OpenSSL on rahoitus on muodostunut lahjoituksista ($2000 vuodessa) sekä erityisistä tuki-  tai konsultointiisopimuksista, joissa osa-aikaiset työntekijät auttavat asiakkaita, joilla on erityisiä tarpeita. Vuosibudjetti ei ole koskaan ylittänyt miljoonaa dollaria. Projektin kehittäminen kuuluu ryhmälle, jossa  työskentelee yksi kokopäiväinen työntekijä ja 10 vapaaehtoista ohjelmoijaa.

Avoin koodi on tietoturvan kannalta paras vaihtoehto kunhan vain sitä koodia oikeasti käydään lävitse. Avoimessa koodissa luotetaan koodiin, suljetussa koodissa luotetaan sen tekijöihin. Molemmissa tapauksissa koodiin voi yrittää ujuttaa jotakin, mutta avoimessa koodissa paljastumisen riski on kuitenkin aivan eri luokkaa.

[qwertyy]

Onko Heartbleed bugi todellakin ollut kaikkien aikojen pahin tietoturva bugi? Minulle on jäänyt se vaikutelma, että bugi oli potentiaalisesti todella paha, mutta sen todelliset seuraukset ovat käytännössä olleet vain spekulatiivisia. Ei ole todisteita, että sitä olisi käytetty ennen kuin se paljastettiin koodin auditoinnin ansiosta.

Näin lukuisat tunnetut ulkomaalaiset lähteet väittää. Niin tai näin, niin yritetäänhän sitä edelleenkin käyttää kohteissa, joissa on asiantuntematon ylläpito.

Jos OpenSSL olisi ollut suljettua koodia, Heartbleed bugia ei olisi löydetty eikä korjattu.

Täysin mahdollista.

Avoin koodi on tietoturvan kannalta paras vaihtoehto kunhan vain sitä koodia oikeasti käydään lävitse. Avoimessa koodissa luotetaan koodiin, suljetussa koodissa luotetaan sen tekijöihin. Molemmissa tapauksissa koodiin voi yrittää ujuttaa jotakin, mutta avoimessa koodissa paljastumisen riski on kuitenkin aivan eri luokkaa.

Täysin totta. Mutta juuri tuo että sitä koodia sitten tosiaan oikeasti käydään läpi. Käsittääkseni OpenSSL on ollut kait se parhaiten tuettu projekti avoimista tietoturvaratkaisuista ja seuraavia ei ole tuettu lähellekään samoilla summilla. Tällaiseen käsitykseen pääsin jostain Wiredin(?) artikkelista.

Ja aika pahoja reikiä siitä on toki löytynyt jo kauan sitten.
http://archive.wired.com/software/coolapps/news/2002/09/55172

[Heikki Ketoharju]

Muutama viesti operaattorille, ja sivuni toimivat jälleen. Olkaa hyvä: http://heikki.ketoharju.info/2014/03/ohjelmien-on-oltava-vapaita-ja-hajautettuja/

Kannattaa muistaa, että kaikissa keskeisissä suljetuissa järjestelmissä on tänä päivänä takaovia. Avoimen koodin järjestelmissä on sentään mahdollisuus, että ne ovat turvallisia.

Tuo nyt kyllä on erittäin skeptisesti muotoiltu. Miten voi väittää, että ihan kaikissa näissä olisi takaovia? En toki väitä etteikö varmasti jossain niitä olisi toteutettukin, mutta kuten jo mainitsin.

Viimeisen vuoden aikana uutisista olemme saaneet lukea, että suljetuista järjestelmistä Windowsissa, OS X:ssä, Androidissa, iOSissa ja Windows Mobilessa on takaovet. Samoin Facebookissa, ja Microsoftin verkkopalveluissa.

Näiden järjestelmien päällä pyöriviä ohjelmia on mahdollista poistaa ja muuttaa, tai saada haltuunsa käyttäjän dataa.

Mikko Hyppösen puheenvuoro, joka ylle linkitettiin, tarjoaa muutamia viittauksia näihin. Lisäksi löytyy esim. Gnu-projektin listaus lähteineen: https://www.gnu.org/philosophy/proprietary-back-doors.html

Maailman pahin tietoturva ongelma on nyt _todistettavasti_ ollut kolme vuotta _kaikille_ osaaville avoimena, nimenomaan avoimen koodin muodossa.

Aiemman viestini pointti oli nimenomaan se, että tietoturvan kannalta mennään ehkä pahemminkin metsään kun aletaan olettamaan, että tuota avointakoodia tutkii tosiaan kaikki kynnelle kykenevät. Ajattele kuinka laajasti OpenSSL:ää on käytetty. Mielettömät määrät myös kaupallisia sovelluksia ja koodi on vain "siepattu" käyttöön, kun kaikki muutkin sitä käyttää. Senhän täytyy olla turvallinen?? Nähtävästi näin ei todellakaan aina ole. Ei vaikka sen ylläpitäjille on lahjoitettu aika paljonkin rahaa vuosittain.

Tässä onkin hyvä syy siihen, miksi julkisen sektorin meillä Suomessa kannattaisi panostaa avoimeen koodiin. Tämä on myös hyvä esimerkki siitä, miten avoimen koodin ohjelmisto on erilaista. Sen laadukkuus ja toimivuus perustuu juuri hajautettuun vastuuseen: kuka tahansa, joka huomaa ongelman, voi sen korjata. On keskeistä, että näin myös tehdään. Muutenhan ohjelmistot eivät kehity eivätkä parannu.

Itse en pitäisi OpenSSL:ää lainkaan niin pahana tietoturvaongelmana, kuin esimerkiksi Windows XP:n tuen loppumista. Jokainen ymmärtää, että jos XP olisi vapaa järjestelmä, sen kehittämistä voisivat jatkaa muut tahot, vaikka Microsoftilla ei kiinnostusta olisikaan.

Kaipaisin vielä tarkempia lähteitä sille, että OpenSSL on maailman pahin bugi. En toki kiellä, etteikö se olisi todella vakava, ja hyvä esimerkki siitä, miten avoimen lähdekoodin ohjelmistot eivät toimi, ellei niillä ole riittävästi asiantuntevia ylläpitäjiä.

Takaisinpäin pienenä aasinsiltana. Jos esim. suomi alkaisi tekemään omaa koodiaan tai vaikka EU:n sisäisesti, niin miksi sen koodin nyt sitten pitäisi olla väen vängällä avointa? Siksi että myös jenkit, venäläiset jne. pääsisi hyödyntämään meidän sijoittamat paukut koodiin? Kuulostaa minusta taloudelliselta itsemurhalta.

Kummalla on isommat paukut? Suomella, vai USA:lla? Ilman muuta jälkimmäisellä, eli emme me pystyisi suljetuilla järjestelmillä heidän kanssaan kuitenkaan kilpailemaan. Koodin avoimuus (ja standardien/rajapintojen avoimuus) sen sijaan takaisi sen, että kaikki ohjelmoijaresurssit voitaisiin hyödyntää – olivat ne sitten yksityishenkilöitä, yrityksiä, yhdistyksiä, kuntia, valtio tai joku muu. EU:n laajuisesti taas teknologian jakamisella olisi jo mahdollista kilpailla Yhdysvaltalaisen teknologian kanssa.

Pitkässä juoksussa avoin lähdekoodi on myös parempi tapa tuottaa ohjelmistoja. Webissä suurin osa hallitsevista teknologioista on avointa lähdekoodia (Apache, PHP, Linux, MySQL, Wordpress, Drupal, erilaiset JS-kirjastot jne), eikä se ole sattumaa. Täältä löytyy hyvä summaus avoimen lähdekoodin/vapaan ohjelmiston hyödyistä: http://fsfe.org/campaigns/wsis/fs.fi.html

Nykyaikaisten järjestelmien monimutkaisuus tekee jo itsessään hankalaa demokratian ylläpitämisestä digitaalisessa maailmassa, mutta suljettujen ohjelmien kokonaisvaltainen läpinäkyvyyden puute tekee siitä mahdotonta. Jos vapaita ohjelmia ei käytetä, harjoitettavissa tai harjoittamattomissa olevat oikeudet määrittää suljetun ohjelman toimittaja – kyseessä on yksin toimittajan päätös, päätös jolle nykyään usein annetaan etusija demokraattisen lainsäädännöllisen prosessin sijaan.

Lopuksi vielä toteaisin, että tällä hetkellä julkishallinnossa käytettävien ohjelmistojen pahin ongelma on niiden hankalakäyttöisyys, jähmeys ja suuret kustannukset. Näihin avoimuus ja modulaarisuus olisi loistolääke.

[JaniAlander]

Mitä OpenSSL:ään tulee, niin mitä itse asiasta olen lukenut viittaisi siihen suuntaan, että OpenSSL:n lähdekoodi on vuosien mittaan muuttunut niin sekavaksi ja hankalaksi, ettei siitä tahdo ottaa asiantuntijakaan selvää. Eli vaikka se avointa koodia onkin, niin vaikeudet sen kanssa lähentelevät suljetun koodin ratkaisua. Ainakin tähän tapaan LibreSSL projektin tekijät perustelevat ratkaisuaan aloittaa käytännössä puhtaalta pöydältä.  Saa nähdä mitä siitä tulee, luulisi ainakin turvallisuuspuolen olevan tarkkaan ajateltua, tekijät kun ovat OpenBSD projektista, ja jossei siitä käyttiksestä muuta voi sanoa, niin ainakin se on pyritty tekemään turvalliseksi. (Käyttömukavuus on sitten toinen juttu)