OpenSSL drives på dugnad. Det viktigste bidraget andre kan gi, er koderevisjon.

Nettsikkerhet på dugnad?

KOMMENTAR: OpenSSL er underbemannet og underfinansiert.

Få programmeringsfeil har fått så stor oppmerksomhet som den Robin Seggelmann gjorde seg skyldig i da han seint i 2011 brukte sin fritid til å arbeide med Heartbeat-modulen til OpenSSL. Seggelmann arbeidet med Heartbeat på frivillig basis. Han var da tilknyttet Universitetet i Münster i Tyskland. Han arbeider i dag for Deutsche Telekom.

På nyttårsaften 2011 fullførte han Heartbeat og sendte koden til Stephen Henson, medlem av kjernegruppen bak OpenSSL. Henson så ikke feilen, og godkjente modulen. Feilen ble heller ikke oppdaget av andre som gikk gjennom koden før den ble satt i produksjon.

To år seinere ble det avdekket at Seggelmann hadde glemt å avgrense størrelsen på en av variablene i modulen.

Det ble påvist at uvedkommende, som følge av denne forglemmelsen, kunne hente følsom informasjon i bolker på opptil 64 kilobyte fra servere som bruker OpenSSL til kryptert overføring. Heartbeat-feilen fikk – selvfølgelig – navnet Heartbleed.

OpenSSL brukes til å sikre det meste av vanlige menneskers behov for utveksling av fortrolig informasjon på nettet.

Heartbleed ble kalt «den verste katastrofen i Internetts historie», selv om det i skrivende stund ikke er påvist informasjon som er kommet på avveier som følge av programmeringsfeilen.

Noen timer etter at kommentaren var ferdig, tikket denne nyheten inn:

Seggelmann har måttet forklare seg for verdenspressen, og avvise at den amerikanske etterretningstjenesten NSA har noe med feilen å gjøre. Verdenspressen har også sporet opp Henson. Det viser seg at han er den eneste av utviklerne i OpenSSL som arbeider fulltid med prosjektet.

Ifølge blant annet Wall Street Journal, Wired og The Globe and Mail er det typisk for utviklingsprosjekter i åpen kildekode at svært små utviklergrupper styrer svært viktig kode.

Det er fire kjerneutviklere i OpenSSL Project. Hele utviklergruppen, inkludert disse fire, teller 11 mann. Alle holder til i Europa – Storbritannia, Tyskland og Sverige – unntatt én som arbeider i Québec. Prosjektet frykter at USA-baserte utviklere kunne gitt amerikanske myndigheter anledning til å regulere OpenSSL som kryptografisk eksportvare.

Tilknyttet prosjektet er en stiftelse, OpenSSL Software Foundation, med formål å støtte utviklingsarbeidet økonomisk. Stiftelsen ledes av Steve Marquess. Han har bakgrunn fra USAs forsvarsdepartement, og bor i delstaten Maryland. Stiftelsen er hans initiativ.

Den økonomiske støtten har to former, pengebidrag og oppdrag til de av OpenSSL-utviklerne som er frilansere. De fleste pengebidragene er på beløp tilsvarende fem eller ti dollar. Til sammen utgjør de rundt 2000 dollar i løpet av et år, ifølge uttalelser fra Marquess til Globe and Mail.

Kode som brukes av to tredeler av verdens internettservere, tilgodeses altså med frivillige bidrag på 2000 dollar i året.

Oppmerksomheten rundt Heartbleed har ført til en mangedobling av pengestrømmen. Siden sårbarheten ble kjent har kontoen vokst med 3000 dollar.

Utviklingsoppdragene utgjør til sammen rundt en million dollar. De holder liv i utviklerne, men disse må fortsatt arbeide med OpenSSL på fritiden.

OpenSSL-prosjektet kunne kanskje vært tjent med flere utviklere. Et mer akutt behov er eksperter for å revidere koden.

Henson var alene om å godkjenne koden til Seggelmann. Lærdommen er enkel. Det burde vært flere. Så enkel, og så billig, er etterpåklokskapen. Det kan bli skjebnesvangert å fortsette å overse noe så åpenbart.

Norske og globale IT-selskaper burde gripe anledningen. Tenk ikke bare hva nettet kan gjøre for deg. Tenk også hva du kan gjøre for nettet.

Og til slutt et ekstratips til Rune Bjerke og andre hvis inntjening hviler på folks tillit til krypterte nettforbindelser: Her er et ekte spleiselag.

Til toppen