Forsøket på å legge inn en trojansk hest i kildekoden til den neste utgaven av Linux-kjernen, som lagres på en offentlig tilgjengelig database på nettstedet kernel.bkbits.net, ble oppdaget av sikkerhetsfunksjonalitet i kildekodedatabasen BitKeeper mindre enn 24 timer etter at den ble lagt inn. Hadde trojaneren ikke blitt oppdaget, kunne den i teorien ha blitt spredt til alle maskiner hvor den kommende kjernen blir tatt i bruk, og trolig gitt personen bak trojaneren tilgang til disse.
Les også:
- [21.04.2005] Nytt kontrollsystem for Linux-kjernen
- [02.12.2003] Sikkerhetshull i Linux-kjernen åpnet for angrep
- [26.11.2003] Linux 2.6 ventes i desember
- [20.10.2003] Skal finne flere feil i åpen kildekode
- [01.07.2003] Ordinær kvalitet på Apache-kode
Men den offentlige databasen brukes bare av for å tilby den siste betautgaven av Linux-kjernen til brukere av versjonskontrollsystemet CVS (Concurrent Versions System).
- Dette kom aldri i nærheten av utviklingstreet, sier Larry McVoy, grunnlegger av selskapet BitMover og ledende utvikler av BitKeeper, til News.com.
- BitKeeper er virkelig paranoid når det gjelder integritet, og det viser seg å være nøkkelen for å finne denne trojanske hesten, sier han.
Når BitKeeper eksporterer kildekode til andre servere, sjekker den integriteten til hver eneste fil ved å sammenligne et digitalt fingeravtrykk av filens offisielle utgave med versjonen på den eksterne maskinen. Det var ifølge News.com denne sammenligningen som fanget opp endringen i den infiserte filen.
- Endringene så ut til å ha blitt gjort av en annen utvikler, men den utvikleren fortalte han ikke hadde gjort det, forklarer McVoy. Dette betyr at databaseserveren på en eller annen måte er blitt kompromittert. Hvordan dette er skjedd, er foreløpig usikkert, men det ble funnet et sikkerhetshull i CVS i januar i år som muligens kan ha blitt utnyttet.
Innbruddet har ført til at det er blitt reist en del spørsmål om sikkerheten forbundet med metodene for utvikling med åpen kildekode, og det diskuteres nå hvordan sikkerheten kan bedres ytterligere.
McVoy mener likevel at det ikke er noen grunn til å bli skremt.
- En trojansk hest er bare en programmeringsfeil som en person har lagt inn i systemet med vilje. Sikkerhetsmodellen for åpen kildekode er at alle og enhver har tilgang til denne koden, slik at feil blir funnet og rettet opp. Det er én av årsakene til at ingen opplever at jeg flipper ut på grunn av dette.
Han innrømmer overfor IDG at hvis det hadde vært kernel.org eller linux.bkbits.net som hadde blitt kompromittert, kunne resultatet ha blitt langt mer alvorlig.