Internet Berjalan pada Perangkat Lunak Sumber Terbuka Gratis, Siapa yang Membayar untuk Memperbaikinya? – Yazici adalah anggota proyek Log4J, alat sumber terbuka yang digunakan secara luas untuk merekam aktivitas di dalam berbagai jenis perangkat lunak. Ini membantu menjalankan petak besar internet, termasuk aplikasi mulai dari iCloud hingga Twitter, dan dia dan rekan-rekannya sekarang berusaha mati-matian untuk menangani kerentanan besar yang telah membahayakan miliaran mesin.

Internet Berjalan pada Perangkat Lunak Sumber Terbuka Gratis, Siapa yang Membayar untuk Memperbaikinya?

 Baca Juga :  Panduan Untuk Semua Orang yang Menggunakan Internet

searchwarp – Kerentanan di Log4J sangat mudah dieksploitasi. Setelah mengirim serangkaian karakter berbahaya ke mesin yang rentan, peretas dapat mengeksekusi kode apa pun yang mereka inginkan. Beberapa serangan paling awal adalah anak-anak yang menempelkan kode berbahaya di server Minecraft. Peretas, termasuk beberapa yang terkait dengan China dan Iran, sekarang berusaha untuk mengeksploitasi kerentanan di mesin apa pun yang mereka temukan yang menjalankan kode yang salah.

Dan tidak ada akhir yang jelas terlihat. Masalah Log4J sama dengan krisis keamanan jangka panjang yang diperkirakan akan berlangsung berbulan-bulan atau bertahun-tahun. Jen Easterly, direktur US Cybersecurity and Infrastructure Security Agency, mengatakan ini adalah “salah satu kelemahan paling serius” yang pernah dilihatnya.

Untuk sesuatu yang begitu penting, Anda mungkin berharap bahwa perusahaan teknologi dan pemerintah terbesar di dunia akan mengontrak ratusan ahli dengan bayaran tinggi untuk segera memperbaiki kekurangannya.

Kenyataannya berbeda: Log4J, yang telah lama menjadi bagian penting dari infrastruktur internet inti, didirikan sebagai proyek sukarela dan sebagian besar masih dijalankan secara gratis, meskipun banyak perusahaan jutaan dolar mengandalkannya dan mendapat untung darinya setiap hari. Yazici dan timnya berusaha memperbaikinya tanpa hasil.

Situasi aneh ini rutin terjadi di dunia perangkat lunak sumber terbuka, program yang memungkinkan siapa saja untuk memeriksa, memodifikasi, dan menggunakan kode mereka. Ini adalah ide berusia puluhan tahun yang telah menjadi penting untuk fungsi internet. Ketika berjalan dengan benar, open-source adalah kemenangan kolaboratif. Ketika itu salah, itu adalah bahaya yang luas.

“Sumber terbuka menjalankan internet dan, dengan perluasan, ekonomi,” kata Filippo Valsorda, pengembang yang bekerja pada proyek sumber terbuka di Google. Namun, ia menjelaskan, “sangat umum bahkan untuk proyek infrastruktur inti memiliki tim pengelola kecil, atau bahkan pengelola tunggal yang tidak dibayar untuk mengerjakan proyek itu.”

Tidak ada pengakuan

“Tim bekerja sepanjang waktu,” kata Yazici kepada saya melalui email ketika saya pertama kali menghubunginya. “Dan shift saya dari jam 6 pagi hingga jam 4 pagi (tidak, tidak ada kesalahan ketik) baru saja berakhir.”

Di tengah hari-harinya yang panjang, Yazici menyempatkan diri untuk menuding para kritikus, dengan men – tweet bahwa “Pengelola Log4j telah bekerja tanpa tidur untuk langkah-langkah mitigasi; perbaikan, dokumen, CVE, balasan pertanyaan, dll. Namun tidak ada yang menghentikan orang untuk memukul kami, untuk pekerjaan yang tidak kami bayar, untuk fitur yang kami semua tidak suka namun perlu dipertahankan karena masalah kompatibilitas ke belakang.”

Sebelum kerentanan Log4J membuat perangkat lunak yang tidak jelas tetapi ada di mana-mana ini menjadi berita utama, pimpinan proyek Ralph Goers memiliki total tiga sponsor kecil yang mendukung pekerjaannya. Goers, yang bekerja di Log4J di atas pekerjaan penuh waktu, bertanggung jawab untuk memperbaiki kode yang salah dan memadamkan api yang menyebabkan kerusakan jutaan dolar. Ini adalah beban kerja yang sangat besar untuk mengejar waktu luang.

Kurangnya pendanaan perangkat lunak open-source adalah “risiko sistemik bagi Amerika Serikat, terhadap infrastruktur penting, terhadap perbankan, terhadap keuangan,” kata Chris Wysopal, kepala petugas teknologi di perusahaan keamanan Veracode. “Ekosistem open-source penting bagi infrastruktur kritis dengan Linux, Windows, dan protokol internet fundamental. Ini adalah risiko sistemik teratas untuk internet.”

Bagaimana ini bisa terjadi? Jawabannya datang dalam bentuk pertanyaan lain: Mengapa perusahaan teknologi membayar untuk sesuatu yang mereka dapatkan secara gratis? Tetapi pentingnya perangkat lunak sumber terbuka yang luar biasa berarti bahwa status quo semakin terlihat tidak dapat dipertahankan.

“Kesukarelawanan tidak dapat dipertahankan untuk infrastruktur kritis karena sukarelawan memiliki hak untuk hanya bekerja pada bagian yang menyenangkan atau menarik dari ‘pekerjaan’,’ kata Valsorda. “Proyek sumber terbuka juga membutuhkan pengujian yang cermat, rekayasa rilis, triase masalah, tinjauan keamanan, tinjauan kode kontribusi—dan pengelola mungkin menemukan beberapa atau tidak ada aspek ini yang memotivasi dalam diri mereka sendiri.”

Saat tekanan dan kritik menumpuk di tim Log4J, pertanyaan lama tentang keadilan ditanyakan tentang dunia open-source.

“Keadilan adalah masalah,” kata Ceki Gülcü, yang mendirikan Log4 . “Ada ketidakseimbangan yang aneh ini, di mana Anda mendapat untung dari sesuatu tetapi Anda tidak mengembalikan apa pun.”

Publik juga hampir sama sekali tidak mengetahui peran besar—dan risiko—dari perangkat lunak open-source bertenaga tenaga kerja bebas yang menjalankan internet. OpenSSL mendukung enkripsi, misalnya, dan Linux berada di belakang sistem operasi yang paling banyak digunakan di planet ini, termasuk Android.

Gülcü menunjuk pada masalah perekrutan dan retensi pada proyek sumber terbuka. Tidak mudah untuk menarik dan mempertahankan talenta bahkan di proyek-proyek besar ketika kompensasi berkisar dari sebagian kecil dari apa yang mungkin dibayarkan perusahaan hingga nol. Dan itu bisa berdampak buruk bagi keamanan nasional.

Pada tahun 2018, pengembang di balik proyek sumber terbuka populer yang disebut ua-parser-js berhenti, tidak mau bekerja secara gratis lagi. Perangkat lunak ini digunakan oleh perusahaan teknologi besar termasuk Google, Amazon, dan Facebook. Orang yang mengendalikan ua-parser-js kemudian membajak perangkat lunak dan menambahkan kode berbahaya ke proyek untuk mencuri cryptocurrency. Departemen Keamanan Dalam Negeri AS akhirnya mengeluarkan peringatan kepada pengguna tentang peretas di tempat kerja. Terlepas dari ribuan pengembang yang menggunakan perangkat lunak tersebut, proyek tersebut telah mengumpulkan dana yang tidak seberapa. Pengembang asli, yang dengan bebas menyerahkan kendali kepada penerus anonim, menyebut situasinya ” gila .”

Namun, pengembang perangkat lunak papan atas tidak selalu mendedikasikan waktu bertahun-tahun dan tidak mendapatkan imbalan apa pun. Gülcü, misalnya, menggunakan pekerjaan gratisnya di Log4J menjadi beberapa pekerjaan pengembangan perangkat lunak yang menguntungkan di industri keuangan.

Ini sebenarnya cukup khas untuk pekerjaan sumber terbuka untuk membantu membangun portofolio yang kemudian mengarah ke pekerjaan berbayar. Dalam beberapa hal strukturnya menyerupai magang yang tidak dibayar di industri lain—sebuah sistem yang semakin dilihat sebagai tidak etis, eksploitatif, dan secara tidak adil menguntungkan orang-orang yang mampu mengambil banyak pekerjaan tanpa kompensasi dengan mengorbankan mereka yang tidak bisa. Dengan cara ini, kekurangan dana untuk pekerjaan sumber terbuka dapat melanggengkan lebih dari sekadar masalah teknis.

“Perusahaan teknologi, perusahaan, siapa pun yang menulis perangkat lunak bergantung pada sumber terbuka,” kata Wysopal. “Sekarang ada pengakuan di tingkat pemerintahan tertinggi bahwa ini adalah risiko besar.”

Easterly dan pakar lainnya mengatakan bahwa perusahaan teknologi perlu meningkatkan transparansi. Mengadopsi Software Bill of Materials, sebagaimana diamanatkan oleh perintah eksekutif 2021 tentang keamanan siber dari Presiden Joe Biden, akan membantu pengembang dan pengguna lebih memahami apa yang sebenarnya rentan terhadap peretasan ketika kelemahan perangkat lunak ditemukan.

Valsorda, yang telah berhasil mengubah pekerjaan sumber terbukanya sendiri menjadi karier yang terkenal, mengatakan bahwa memformalkan dan memprofesionalkan hubungan antara pengembang dan perusahaan besar yang menggunakan pekerjaan mereka dapat membantu. Dia menganjurkan mengubah pekerjaan open-source dari pengejaran hobi menjadi jalur karir profesional sehingga infrastruktur penting tidak bergantung pada waktu luang pengembang yang sudah memiliki pekerjaan penuh waktu. Dan dia berpendapat bahwa perusahaan harus mengembangkan sistem untuk membayar orang-orang yang memelihara proyek sumber terbuka dengan nilai pasar wajar mereka.

Beberapa perusahaan telah menyadari kebutuhan tersebut. Google baru-baru ini menjanjikan $100 juta untuk mendukung pengembangan sumber terbuka dan untuk memperbaiki kerentanan.

Wysopal mengatakan lebih banyak yang harus dilakukan untuk memahami kesehatan proyek sumber terbuka—Apakah pembaruan terakhir seminggu yang lalu atau dua tahun yang lalu?—dan kemudian secara sistematis mendukung proyek yang baik sambil membunuh yang tidak dapat diamankan. Proyek Google lainnya, Dana Peningkatan Teknologi Sumber Terbuka, bertujuan untuk mengaudit dan meningkatkan proyek sumber terbuka yang penting.

Dampak dari kerentanan Log4J adalah contoh sempurna dari masalah yang lebih besar. Kekurangannya ada pada desain perangkat lunaknya, jadi untuk menemukannya, Anda membutuhkan seseorang yang benar-benar mengerti desainnya. Model “bug bounty” saat ini, yang membayar orang luar untuk melihat perangkat lunak dan menemukan kekurangannya, tidak cukup membantu di sini, karena orang luar tidak memiliki insentif finansial untuk mengembangkan pemahaman mendalam semacam itu.

“Ini benar-benar kegagalan pasar,” kata Wysopal. “Kami mengambil bagian yang baik dari kode bersama, dan kami membuat orang lain mengambil bagian untuk bagian yang buruk. Harus ada lebih banyak dana untuk menemukan dan memperbaikinya.”

You may also like