Dan Geer har skrevet noget klogt som I bør læse.
Han tager afsæt i Heartbleed men når frem til samme konklusion som jeg har nået: Producenter af udstyr med indlejrede computere må enten påtage sig et produktansvar, eller levere open source.
Som situationen er idag, er der rullet millioner af dimser ud, som måske, måske ikke, har en hullet OpenSSL indlejret.
Internet-routere, printere, telefoner, internetforbunde termostater, ventilationssystemer, videovervågning osv. osv. osv.
Ingen har ansvaret for at lukke hullet og hvad værre er: Ingen har muligheden for at gøre det.
En af de ting der overraskede mig absolut mest dengang jeg sloges med D-Link om deres NTP-server misbrug, var at de ikke anede om de havde sourcekoden til softwaren: De havde bare produceret “nogle millioner” dimser, trykt en manual og ud over rampen med dem.
Det giver muligvis billig elektronik, men som vi har set igen og igen, giver det også et totalt uforsvarligt Internet.
Der er en grund til at biler skal godkendes før de må færdes på offentlig vej: De kan være til fare for offentligheden.
Det kan internet-forbunde dimser også og det er på tide at vores politikere stiller krav til producenterne.
Jeg synes man skal give producenterne to: valgmuligheder:
A) Kildeteksten deponeres i brugbart format. Producenten har produktansvar til 10 år efter sidste shipment, efter samme model som bilbranchen med recalls osv. Løfter firmaet ikke opgaven med produktansvar (konkurs mv.) offentliggøres kildeteksten ved dom.
B) Release produktet med fuld dokumentation som Open Source, således at andre kan løse de problemer der opstår.
Model A vil være en god løsning for dem der sælger store dyre kasser, (Cisco osv.) mens model B vil være bedst for små billige dimser.
Nye EU Parlamenter kan begynde her…
phk
Leave a Reply