Ilmainen ohjelma rikkoi internetin - Mielipide | HS.fi

Ilmainen ohjelma rikkoi internetin

Avoimen lähdekoodin Log4j-ohjelmistossa havaittu nollapäivä­haavoittuvuus osoitti, kuinka jopa Piilaakson jättien sovellukset ovat riippuvaisia muutamien ihmisten vapaa-ajan työpanoksesta.

22.12.2021 2:00 | Päivitetty 22.12.2021 6:39

Twitterissä levisi pari viikkoa sitten synkkä viesti: laajasti käytetyssä avoimen lähdekoodin Log4j-ohjelmistossa on nollapäivä­haavoittuvuus. Käytännössä tämä tarkoitti, että ohjelmistoa käyttävän palvelimen voi ottaa ulkopuolelta haltuun.

Vian löytäjä oli hyvien tapojen mukaisesti raportoinut ongelmasta ohjelmiston ylläpitäjille, ja korjaus oli heti saatavissa. Silti haavoittuvien järjestelmien ylläpitäjillä ympäri maailmaa on korjaamisen kanssa täysi työ.

Kymmenettuhannet palvelimet ovat vaarassa joutua pahantahtoisen hyökkääjän hallintaan. Tähän mennessä haavoittuvuus on koskenut ainakin Googlea, Applea, Teslaa ja Amazonia – joten välillisesti melkeinpä jokainen meistä ollut riskiryhmässä.

Log4j-ohjelmistoa käytetään esimerkiksi virhetilanteiden tallentamiseen myöhempää selvittelyä varten. On järkevää käyttää valmiita komponentteja uudelleen – ei autonvalmistajakaan tee jokaista pulttia ja mutteria itse. Riski tällaisista ulkoisista riippuvuuksista realisoitui nyt kuitenkin karulla tavalla.

Suurimman osan Log4j:n koodista on kirjoittanut neljä ihmistä, oletettavasti harrastuksenaan. Kymmenettuhannet sovellukset ovat riippuvaisia muutamien ihmisten vapaa-ajan työpanoksesta, mukaan lukien Piilaakson jättien miljardien liikevaihtoa tahkoavat tuotteet.

Log4j ei todellakaan ole ainoa tällainen ohjelmisto. Vakava tietoturvaongelma alleviivaa avoimen lähdekoodin ohjelmistojen merkitystä.

Samalla tapaus on muistutus ohjelmistokehityksen muutoksesta ja ohjelmistojen kehittäjien vastuusta. Jos ennen kaikki kirjoitettiin itse, nykyään sovelluskehitys usein on osien haalimista sieltä täältä. Log4j tuolta, verkkoliikenne täältä, käyttäjänhallinta sieltä ja vähän omaa koodia päälle liimaamaan osat yhteen.

Ohjelman koostajan täytyy kuitenkin ottaa vastuu tekemistään valinnoista. Se tarkoittaa riittävää panostusta osien tuntemiseen ja ohjelmistojen jatkuvaan kehitykseen koko ohjelmiston elinkaaren ajalta.

Entäpä sitten avoimen lähdekoodin kehittäjien vastuu? Mitä voidaan odottaa ihmisiltä, jotka ilman rahallista korvausta kehittävät ohjelmistoja muiden yleishyödylliseen käyttöön?

Ei mitään. Vaatimisen sijaan olkaamme kiitollisia kaikille, jotka käyttävät omaa aikaansa ja näkevät vaivaa muiden hyväksi. Paras kiitos on tehdä niin itsekin.

Miro Nurmela

Kirjoittaja on HS:n datadeskin pääkehittäjä.

Artikkeliin liittyviä aiheita

Luitko jo nämä?

Luetuimmat - Mielipide