RIA: praegune OpenSSL-i turvaauk pole Heartbleediga võrreldav
Turvaaugud on justkui muulad, mis ei lase endid liigitada ei hobuseks ega eesliks. Lugu optimistist ja pessimistist teab kindlasti igaüks, kuid muul turvaauguna on loomulikult väga paha loom, kuivõrd tal on nii hobuse kui eesli puudused.  Kuidas üldse turvaaugu ulatust hinnata? Kas katarsise suuruse järgi, mis augu avastajal avastuse hetkel saabub? Rahalise kahju kaudu, mis võib saabuda tingimusel, et mitte keegi oma serverites ja koduarvutites seda auku ei parandaks? Rahalise kahju alusel, mida firmad ning riigiasutused kulutasid IT-inimeste ületundidele? IT-töötaja töö keerukuse ja kiiruse alusel – näiteks tuli masinasse selle parandamiseks panna kolm erinevat CD-ketast ning õiges järjekorras? Tädi Maali solvumise astme järgi, kes just ostis endale uue arvuti ja sai nüüd teada, et juba kolmandal päeval tuleb selles hakata vigu parandama? Eelmist, Heartbleediks nimetatavat turvaauku iseloomustas neli põhilist asjaolu: 1. teda esines "kõikjal" ehk siis väga paljudes seadmetes, sealhulgas väga turvaliseks peetud süsteemides; 2. ta saabus justkui Amori nool padrikust – turvaparandusi veel polnud ning päeva-paari jooksul oli suur osa süsteeme ilma kaitseta; 3. ärakasutamine oli väga ohtlik ning võimalik peaaegu passiivselt – tarvitses vaid serverilt midagi küsida ning server juba andiski delikaatset infot välja; 4. ärakasutajat polnud kuigivõrd võimalik kriminaalkorras vastutusele võtta, sest kuritegeliku kavatsuse tõestamine oli keeruline. Suurim õppetund Heartbleedist oli tolle turvavea šokeeriv ulatus – kaheaastane tagasiulatuv periood, mille kohta keegi ei saa väita, kas kuritarvitati või ei kuritarvitatud – ning paar päeva kestnud alandav abitus. Viktimoloogia õpetab, et nii ebameeldiv kogemus tahetakse võimalikult kiiresti unustada ning mälus uue ja konkreetsemaga üle kirjutada. Seepärast pole ime, et mõned allikad, sealhulgas Guardian, üritavad avastatud auku võrrelda Heartbleediga. Praegune OpenSSL-i turvaviga erineb Heartbleedist järgmiste tunnuste poolest: * Turvapaik on saadaval veakirjelduse avaldamise hetkest. Kui Heartbleedi puhul ei pidanud mõne inimese närvid vastu ning kisa tõsteti enne ravimi leiutamist, siis selle turvavea avastajatel õnnestus talitada vastutustundliku teavitamise põhimõtete kohaselt – enne kisama ei hakatud, kui ravim saadaval. * Kuigi seekordne viga on intellektuaalselt väga huvitav ja kaasakiskuv, nõuab tema ärakasutamine oluliselt sügavamaid teadmisi arvutivõrgust ja programmeerimisest. Heartbleediga võrreldes pole nii, et iga koolipoiss saab riigile või pangale jalaga tagumikku lüüa, sest teadmisi ei jagu. * Erinevalt Heartbleedist, kus krokodilli püüti 50 meetri pikkuse tamiiliga, jäädes ise aga ohutusse kaugusse, on seekordse vea ärakasutamiseks vaja asuda kahe arvuti vahepeal, see tähendab olla võimeline sideliini pealt bitte püüdma ja neid käigu pealt muutma. Seega, kui avastatakse rünne (ning eriti, kui sel on mitu ohvrit), on võimalik loogiliselt tuletada, kus ründaja pealtkuulamisjaam paikneb. * Võõra traadi peal nuhkimise või võõrasse seadmesse sissemurdmise puhuks on karistusseadustikus väga selged paragrahvid. Lihtsalt pealtkuulamisest või õnge väljaviskamisest ei piisa – ründeks on vaja väga keerulist ja mitmeetapilist tahtlikku tegevust. Kokkuvõttes olen veendunud, et praegust turvaauku ei saa siiski võrrelda kurva olukorraga, kuhu inimkond sattus Heartbleedi tõttu. Spetsialistid teavad, et mainitud kahe suurema turvanõrkuse kõrval on OpenSSL-nimelise turvakihi seest värskelt leitud ka palju pisikesi, mis on aga suurema avaliku kärata lihtsalt ära parandatud. Pealegi leidis OpenSSL-i tiim tänu skandaalile endale rahastamisallikad. Enamik inimesi, kelle serveris või koduarvutis on lubatud automaatsed turvaparandused, peaksid olema mainitud ohu suhtes juba "vaktsineeritud". Hetkel on jäänud riskigruppi veel vaid niinimetatud legacy-süsteemid ehk siis vanad süsteemid, millele kas paika pole saada või mille tootja pole enam kättesaadav. Ei saa välistada, et üksikud sellised süsteemid on järel nii erasektoris kui ka riigisektoris. Mingit üleüldist turvaohtlikku olukorda nagu Heartbleedi puhul aga täna kindlasti ei ole.
