Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. juni 2003.
Åben Sikkerhed: Der er mange myter om sikkerhedsniveauet i open source-software. Det er mere sikkert end proprietær-software. Det er mindre sikkert. Ifølge danske sikkerhedseksperter er den frustrerende sandhed imidlertid, at det er hverken eller.
Tilhængere af open source-software har gennem tiden haft rig mulighed for at grine i krogene, mens rapporter om sikkerhedshuller i produkter fra Microsoft og andre leverandører af proprietær software har hobet sig op. Orme som Code Red skabte sidste år kaos i mere end en MS Internet Information Service server. Brugerne af open source-serveren Apache følte sig derimod sikre. I juli sidste år opdagede eksperter imidlertid huller i OpenSSL, der bruges til sikre transmissioner på Apache-servere. Få uger efter ramte ormen Slapper, der ikke bare udnyttede hullet til at installere en bagdør, men også lagde bunden for et såkaldt denial of service-angreb, hvor flere computere angriber Èn computer.
Og for danske sikkerhedseksperter er ovenstående et eksempel på, at på at open source på trods af de mange myter hverken er mere eller mindre sikkert, end produkter udviklet bag lukkede døre.
Lukket/åben
En central sikkerhedsdiskussion i open source er spørgsmålet om full disclosure - eller fuld offentliggørelse. Hvis der bliver fundet et sikkerhedshul i open source, bliver det offentliggjort helt ned til hvilke kodelinier, problemet er opstået i. Fortalere for åben source hylder dette som en overvældende fordel set i forhold til de patches, der kommer fra for eksempel Microsoft, fordi det giver mulighed for alle at rette på problemer, og det skulle give en meget hurtig respons, når først hullet er blevet offentliggjort. Ifølge Ulf Munkedal fra Fort Consult er der dog også en bagside.
- Spørgsmålet er, hvor sundt det er at fortælle alt? Også dem med dårlige hensigter kan uden videre se problemet, siger han.
En anden udbredt myte om sikkerhed og open source er, at det er mere sikkert fordi al kode ligger frit tilgængelig, og det derfor er langt nemmere at opdage eventuelle fejl.
- Det er ikke rigtigt. Jo, teoretisk skulle det være enormt nemt at se fejl, når du har koden, men den fylder så meget, at der som regel ikke er nogen, der gør sig det besvær at se alt igennem, eller i hvert fald meget få. Samtidig sker der lige så mange menneskelige fejl i kodningen, som i proprietær software, siger han.
Hvor kommer koden fra
Spørgsmålet er så, hvad virksomheder, der overvejer open source-produkter i deres virksomheds it-miljø, skal være opmærksomme på i forhold til sikkerhed.
- Med open source software er der ikke nødvendigvis Èn leverandør, du kan henvende dig til, skulle der opstå sikkerhedsproblemer, det skal man selvfølgelig være opmærksom på, siger han og anbefaler samtidig, at man henter software fra steder, der er 100 procent troværdige.
- Man har set flere eksempler på, at der har været indbrud de steder, hvor softwaren ligger, at der er blevet ændret i koden og for eksempel installeret en bagdør i programmerne.
Det afgørende for et sikkert open source-miljø er dog ifølge Ulf Munkedal, hvordan det sættes op.
- Vi har testet tusindvis af systemer både open source og proprietær, og der er ingen forskel i sikkerhedsniveauet. I sidste ende er det, der virkelig har betydning for sikkerheden, den måde, du konfigurerer på, siger han.
Også hos sikkerhedsvirksomheden Protego, bakkes der op om det synspunkt, her opfordrer teknisk chef Peter Vestergaard til, at virksomheder overvejer open source på lige fod med alle andre produkter.
- Sikkerhed skal ikke være argumentet for at vælge open source produkter fra, og det sker desværre alt for tit. Det er en af mine kæpheste, at det skal tages ind i overvejelserne på samme vilkår som alt andet software. Virksomhederne skal se på, hvilke kompetencer de har. Ved de, hvad de har med at gøre? Kan de vedligeholde det? Og så i øvrigt få det sat sikkert op fra starten, siger han.
Billedtekst:
- Open source er på godt og ondt kendt for at lave full disclosure på sikkerhedsbrister. Spørgsmålet er så, hvor sundt det er at fortælle alt? Det er ikke kun dem med gode hensigter, der kan læse koden, også dem med dårlige hensigter kan uden videre se problemet, siger Ulf Munkedal. Foto: Torben Klint
