OpenBSD meeskond lõi oma versiooni OpenSSL-ist

www.libressl.orgDoc kirjutas vanal lehel, et OpenSSL-i projekt on viimastel nädalatel põhjendatult kriitikatule alla sattunud. Vahendite küsimine arendustööks ei pruugi aga soovitud tulemust anda, seetõttu on OpenBSD kogukond võtnud ette mõnevõrra ootamatu viisi olukorra parandamiseks ning loonud viimasest koodibaasist oma versiooni – LibreSSL-i, mida siis värskete jõududega üritatakse arendada. Esimesena loodetakse seda kasutada OpenBSD 5.6 peal, tõenäoliselt lisanduvad siia ka beetaversioonid levinud operatsioonisüsteemidest nagu RedHat ja Debian, lisaks nendel põhinevad distrod. Loodetud koodi puhastamine ja turvaaukude lappimine peaks tooma ka tähelepanu seni avalikkuse silme alt väljas olnud motiveerimisküsimustele – vähesed firmad pakkusid abi arendajatele, ehkki krüptograafialahendust kasutavad eranditult kõik IT alal tegutsevad kompaniid.

Üks arvamus “OpenBSD meeskond lõi oma versiooni OpenSSL-ist” kohta

  1. Kogu see küber-turbe teema taandub ära töökindlusele, a la tuvalisus kui vastupidavus ründajatele. Turustuse ringkondades kasutatakse mõnikord väljendit: ära müü vitamiine, müü valuvaigistit. IT-turbe teema on enamikele firmadele äri kontekstis “vitamiini” rollis, sest kuni nad ei ole pidanud 50% või enam oma aasta kasumist IT-turbe probleemi tõttu isegi IT-kaugele peadirektorile arusaadavalt korstnasse kirjutama, seni ei kvalifitseeru küber-turbe teema nende silmis valu-vaigistiks. Võrdlusena võib tuua näiteks raha koguse, mida ollakse nõus kulutama kontori turvameestele, kaameratele, jne. Meie siin muidugi võime ju mõista, et tänapäeva panga korral on IT-turbe küsimused raha-hoidla valdamisel olulisemad kui need kaamerad ja ilusa särgi ning kuulikindla vestiga turvamehed, kuid tõenäoliselt on ssh-põhise turva-insidendi mõistmiseks vaja mõelda, mõningat arusaamist omada IT-st, jne. ja Eesti Vabariigi RIA taolistes asutustes, mille juhtkonda kuulub IT-d mitte-õppinud presidendi poeg ning muud vahe-juhid igapäevaselt koodi ei kirjuta, ei suudeta neid teemasid aduda isegi NATO küberturbe propaganda-lainel. Vastupidisel juhul makstaks nende OpenBSD tegelaste töö kasvõi väikese Eesti RIA poolt kinni.

    Põhimõtteliselt on võimalik antud teemat laiendada Titanic’u päästepaatide puuduse teemale: laeva disainerid ju teadsid kohe laeva disainides, et laeva põhja minekul olemasolevatest päästepaatidest ei piisa. Ma täpselt ei tea, kuidas tänapäeval päästepaatide arvuga on, kuid kahtlen, et kui laev kummuli läheb, nii et ühel pool laeva olevad päästepaadid vee alla jäävad ja vaid üles jäävad päästepaadid kasutuskõlblikud on, siis jääb samuti päästepaatidest puudu, et mitte öelda, mingisugune trossidega susser-vusser-tigu-aeglane päästepaadi vette laskmise mehhanism näib küll ajast ja arust olevat. Jällegi, tegu on laeva-ehitajate silmis vitamiiniga, mitte valuvaigistiga.

Kommenteerimine on suletud