FOSS i Offentligheten

Thomas Roka-Aardal, CTO Conduct AS Juni 2003

I det siste har vi i Conduct sett at det snakkes og gjøres mye innenfor fri og åpen kildekode (FOSS). Det lyses ut flere prosjekter som nevner FOSS i en eller annen sammenheng, og etter at flere og flere tunge aktører har valgt å strategisk satse på FOSS virker det som om også det offentlige føler at tiden er moden for å se på hvordan FOSS kan tas i bruk forskjellige steder i forvaltningen.

Når folk flest snakker om åpen kildekode så ser de hva de åpenbare fordelene er, og tenker umiddelbart på at "free software" betyr "gratis kildekode". Men det er kun ett av aspektene rundt FOSS, og faktisk er ikke all åpen kildekode gratis. Det korrekte ordet på norsk, er "fri", og navnet henspeiler på den frihet man som forbruker har, og ikke hva det koster. Vel er det bra at åpen kildekode ofte er gratis, men det viser seg gang på gang at det er andre aspekter rundt åpen kildekode som appellerer mer til kunder enn bare prisen. Ett av disse andre aspekter er åpenheten rundt selve kildekoden, og ikke minst i svært selvstendige land som Frankrike og Tyskland er man svært opptatt av at man skal ha full kontroll over den programvaren man velger å kjøre i det offentlige. Dette innebærer svært streng kontroll av produkter, og mange programvareleverandører har vært nødt til å levere sin kildekode for gjennomgang av tyske myndigheter. Noe av dette har vært drivkraften bak blant annet Microsoft sin Shared Source Initiative, slik at det skal være mulig å få innsikt i detaljene bak produktene som vurderes brukt. Dette skal også Norge nå gjøre, og har i disse dager tegnet en avtale med Microsoft som gjør at man får innsyn i kildekoden til viktige produkter, og dermed kan avkrefte mytene om dårlig sikkerhet i disse. Men la oss se litt på hva en slik avtale innebærer.

Først og fremst er en slik visning av kildekode bundet til svært restriktive avtaler. Disse avtalene sikrer Microsoft på en måte som gjør at de som tegner avtalen ikke får lov til å fortelle andre hva de har sett eller oppdaget. Ei heller får de tillatelse til å ubegrenset bruke det de lærte av innsynet videre2. Faktisk kan avtalen hindre de som tegner den i å bedrive noe som helst som Microsoft vurderer som konkurrerende virksomhet. I det offentlige kan vi ikke tillate oss slike begrensninger, og hvis noen skal stille betingelser bør det komme fra nettopp det offentlige, og ikke en leverandør som faktisk ønsker å selge sine produkter.

Når det gjelder Norge så er det snakk om at det er av sikkerhetshensyn man ønsker å tegne en slik avtale, så kan trenet sikkerhetspersonell vurdere hvorvidt dette er sikkert nok til å drive sikkert innenfor forvaltningen. Det kan høres bra ut, men det er flere alvorlige aspekter som ikke dekkes av et slikt innsyn.

Det mest alvorlige er at man ikke kan verifisere at det man får tilgang til er identisk med det man skal installere og kjøre. Det er rett og slett en situasjon der en er nødt til å stole på Microsoft når de sier at de lover at det du får se er det du skal installere. Er det godt nok for et rikes sikkerhet? Absolutt ikke.

Vi har tidligere sett at mye programvare fra USA har inneholdt lavere kryptering for eksport enn den som er for bruk i USA, og noe programvare har til og med inneholdt NSA kode som ingen vil fortelle hva brukes til. Blant annet Netscape Corp hadde problemer med konkurranse fordi de ikke fikk lov til å selge sterkt kryptert programvare til utlandet3. Årsaken til dette er selvsagt at USA vil kryptere egen informasjon, men ha muligheten til å kunne dekryptere andre lands informasjon.

Netscape sin 40-biters sikkerhet ble hacket av studenter. Den svenske stat fikk store problemer i 1997 da det viste seg at det valgte Lotus Notes inneholdt NSA kode som distribuerte krypteringsinformasjon tilbake til USA - produktet brukte 64-biters kryptering, men bare 40 biter ble brukt - de andre 24 ble brukt av NSA, som rapportert til Svenska Dagbladet. Tilsvarende historier finnes om alle former for eksportert programvare fra USA. Kanskje en av de mest oppsiktsvekkende historiene var fra linuxleverandøren Red Hat Inc. Det dukket opp et sikkerhetshull i i systemet deres, og de kom raskt ut med en fiks, samt informasjon om hva slags sikkerhetshull det var og hvordan det kunne tettes. Problemet var bare det at den informasjonen som ble lagt ut om sikkerhetshullet ble tolket slik at den var i strid med den nye DMCA4 loven. Det betyr i korthet at RedHat ikke fikk lov til å publisere denne informasjonen til folk utenfor USA dersom de også publiserte den til amerikanere. Så RedHat bestemte seg for å publisere informasjonen til alle unntatt amerikanere5, utrolig nok. Dette er jo fullstendig absurd, men viser at holdningen til sikkerhet og andre land er noe som faktisk tas svært alvorlig i USA, og det er på tide at man åpner øynene og aksepterer dette.

Det er derfor underlig at man i det offentlige ikke har standardisert, ja sågar lovfestet, at alle offentlige etater skal benytte seg av FOSS produkter. Conduct jobber for å få kommunisert mange av disse aspektene, men stort sett forteller utlyste prosjekter oss at det offentlige kun ser på FOSS som en måte å spare penger på.

Det undergraver vår rett som statsborgere til å ha best mulig sikkerhet for våre data. Ikke bare betaler vi for det, men det er også våre egne data som skal forvaltes.

Våkn opp, Norge.