Samarbejde, deling og digital udvikling i det offentlige.

Blog: Open source er ikke sårbare af natur, men Log4j gør ondt

Ca. læsetid: 3 mins

Blogindlæg af Charlotte Heikendorf, community manager hos OS2

 

For to år siden, i september 2019, brød hackere ind i SolarWinds, der bliver brugt i netværk i bl.a. Microsoft, USAs State Department og NASA. I december 2021 blev en sårbarhed i Log4j – et bibliotek, der bruges i en tredjedel af alle web servere – udnyttet. En af de steder, hvor de to sager adskiller sig, er, at den første er proprietær kode og den sidste er open source.

 

Spionage igennem en proprietær kode

Wired udtrykte i august i år en vis glæde over, at SolarWinds ikke havde en open source kodebase, men SolarWinds viste sig (alligevel?) at være sårbar. Firmaet bag havde haft flere chancer til at opsnuse sårbarheden, inden koden med spionage bidder blev udrullet som en opdatering i marts og april 2020.

Med en åben kodebase ville virksomheden bag SolarWinds have haft muligheden for at få feedback på sikkerheden og lave bug hunts på deres kode.

 

Gratis komponent brugt på mange web servere

Log4j har open source licens og den er en komponent til at logge. Den skaber en optegning af aktiviteter - slags dagbog -, som udviklere kan bruge til at troubleshoote. Log4j er brugt på mange web servere i verden. En sårbarhed i koden er altså et problem for store dele af internettet. Det er alvorligt, ingen tvivl om det. Ikke kun for en række virksomheder, men også for dig og mig.

Sårbarheden blev fundet sidste måned med hjælp fra et medlem af Alibabas sikkerhedshold. Dét er muligt med open source.

 

Stor sikkerhedsrisiko og et frivilligt hold

Log4j er ikke en lille sikkerhedsrisiko, tværtimod. Til mediet CNBS siger CISA Director Jen Easterly, at Log4j er den alvorligste sikkerhedsbrist, der er sket i hendes karriere. Men der er en stor forskel på, hvor hurtigt offentligheden hørte om sikkerhedsbristen – en måned for Log4j og knap to år for SolarWinds (ifølge Wired). Som alt andet software kan open source havde sikkerhedsbrister, men de kan potentielt findes meget hurtigere med open source og derfor også rettes hurtigere.

Log4j er udviklet og maintainet af frivillige. Frivillige, der som på mange open source kodebaser, arbejder på det i fritiden. Det efterlader et vigtigt spørgsmål: Skal vitale komponenter udvikles og vedligeholdes i fritiden eller kunne man forestille sig, at en betalt maintainer på et arbejdsstipendium skulle styre slagets gang?

 

For at lukke sårbarheden anbefaler Center for Cybersikkerhed at opdatere til version 2.17 eller nyere.

Publiceret i gruppen

Dette er et blogindlæg

Vi har mange eksterne skribenter tilknyttet der skriver blogindlæg, som OS2 publicerer. Indlægget er udtryk for skribentens holdning. Alle holdninger som kan udtrykkes indenfor OS2s retningslinjer og code of conduct er velkomne, kontakt os gerne hvis du har noget på hjertet.