Blogindlæg af Charlotte Heikendorf, community manager hos OS2
For to år siden, i september 2019, brød hackere ind i SolarWinds, der bliver brugt i netværk i bl.a. Microsoft, USAs State Department og NASA. I december 2021 blev en sårbarhed i Log4j – et bibliotek, der bruges i en tredjedel af alle web servere – udnyttet. En af de steder, hvor de to sager adskiller sig, er, at den første er proprietær kode og den sidste er open source.
Spionage igennem en proprietær kode
Wired udtrykte i august i år en vis glæde over, at SolarWinds ikke havde en open source kodebase, men SolarWinds viste sig (alligevel?) at være sårbar. Firmaet bag havde haft flere chancer til at opsnuse sårbarheden, inden koden med spionage bidder blev udrullet som en opdatering i marts og april 2020.
Med en åben kodebase ville virksomheden bag SolarWinds have haft muligheden for at få feedback på sikkerheden og lave bug hunts på deres kode.
Gratis komponent brugt på mange web servere
Log4j har open source licens og den er en komponent til at logge. Den skaber en optegning af aktiviteter - slags dagbog -, som udviklere kan bruge til at troubleshoote. Log4j er brugt på mange web servere i verden. En sårbarhed i koden er altså et problem for store dele af internettet. Det er alvorligt, ingen tvivl om det. Ikke kun for en række virksomheder, men også for dig og mig.
Sårbarheden blev fundet sidste måned med hjælp fra et medlem af Alibabas sikkerhedshold. Dét er muligt med open source.
Stor sikkerhedsrisiko og et frivilligt hold
Log4j er ikke en lille sikkerhedsrisiko, tværtimod. Til mediet CNBS siger CISA Director Jen Easterly, at Log4j er den alvorligste sikkerhedsbrist, der er sket i hendes karriere. Men der er en stor forskel på, hvor hurtigt offentligheden hørte om sikkerhedsbristen – en måned for Log4j og knap to år for SolarWinds (ifølge Wired). Som alt andet software kan open source havde sikkerhedsbrister, men de kan potentielt findes meget hurtigere med open source og derfor også rettes hurtigere.
Log4j er udviklet og maintainet af frivillige. Frivillige, der som på mange open source kodebaser, arbejder på det i fritiden. Det efterlader et vigtigt spørgsmål: Skal vitale komponenter udvikles og vedligeholdes i fritiden eller kunne man forestille sig, at en betalt maintainer på et arbejdsstipendium skulle styre slagets gang?