Internettet kører på gratis og open source-software. Hvem betaler for reparationer?

Sårbarheden i Log4J er ekstremt nem at udnytte. Når den ondsindede tegnstreng er sendt til den sårbare maskine, kan hackerne udføre enhver kode, de vil. Nogle af de første angreb var børn, der injicerede ondsindet kode i Minecraft-servere. Hackere, inklusive dem, der er knyttet til Kina og Iran, forsøger nu at brug en sårbarhed i enhver maskine, der kører den fejlagtige kode.

Og der er ingen klar ende i sigte. Problemet med Log4J repræsenterer en langsigtet sikkerhedskrise, der forventes at vare i måneder eller år. Jen Easterly, direktør for US Cybersecurity and Infrastructure Security Agency, sagde, at det var “en af ​​de største mangler”, hun nogensinde er stødt på.

For noget så vigtigt ville man forvente, at verdens største teknologivirksomheder og regeringer ansætter hundredvis af højt betalte eksperter til hurtigt at rette fejlen.

Sandheden er, at Log4J, som længe har været en kritisk del af den underliggende internetinfrastruktur, blev grundlagt som et frivilligt projekt og kører stadig for det meste gratis, selvom mange millioner og milliarder af dollars af virksomheder er afhængige af og profiterer på det. hver eneste dag. Yazychi og hans team forsøger at løse dette for næsten ingenting.

Denne mærkelige situation er almindelig i verden af ​​open source-software, programmer, der giver enhver mulighed for at gennemgå, ændre og bruge deres kode. Dette er en idé, der er årtier gammel og er blevet afgørende for, hvordan internettet fungerer. Når tingene går rigtigt, er open source en fælles triumf. Når noget går galt, er det en vidtrækkende fare.

“Open source driver internettet og i forlængelse heraf økonomien,” siger Filippo Valsorda, en udvikler, der arbejder på open source-projekter hos Google. Alligevel forklarer han, “Selv for kerneinfrastrukturprojekter er det meget almindeligt at have et lille hold af vedligeholdere, eller endda en vedligeholder, der ikke er betalt for at arbejde på dette projekt.”

Ingen anerkendelse

“Teamet arbejder døgnet rundt,” sagde Yazici via e-mail, da jeg første gang kontaktede ham. “Og mit skift fra 6 til 4 om morgenen (nej, der er ingen tastefejl i tide) er lige afsluttet.”

Midt i sine lange dage fandt Yazici tid til det pege fingeren på kritikere, tweet at “vedligeholderne af Log4j har arbejdet søvnløst på afbødende foranstaltninger; rettelser, dokumenter, CVE’er, svar på anmodninger osv. Når det er sagt, er der intet, der forhindrer folk i at skælde os ud for arbejde, vi ikke bliver betalt for, en funktion, som vi alle ikke kan lide, men som skal beholdes af feedbackhensyn. kompatibilitet .”

Leave a Comment