Symantec AV: Ufrivillig Open Source

Kunne du tenke deg kildekoden til Symantecs Norton AV? Ikke vi heller. Derfor er det ingen ‘big deal’ at selskapet er blitt hacket og deler av kildekoden til et av AV-produktene stjålet. Eller – stopp en halv: Er ikke Symantec sikkerhets-eksperter?

2012 har startet dårlig i sikkerhetsmessig forstand. Symantec er i godt – egentlig dårlig – selskap. Blant andre godt synlige hendelser har Amazons Zappo og 6pm ‘mistet’ hundretusenvis av kundenavn til hackere. Ikke kritisk informasjon, men plagsomt både faktisk og image-messig. I Israel har antatt politisk motiverte hackere stoppet børsen og det statlige flyselskapet, mens City College of San Francisco høyst ufrivillig har avgitt data om 100.000 ansatte og studenter til uvedkommende. Og nye hull har dukket opp i utbredte Microsoft-produkter.

Godt eller dårlig selskap, det er ikke til å unngå at Symantec skiller seg ut. Et sikkerhets-selskap som blir hacket er dårlig reklame. At det er selskapets enterprise-produkt som er ‘på vidvanke’, gjør ikke saken bedre. ‘Konsument-produktet er i trygge hender’ sier Symantec, og skaper enda mer uro: Anser selskapet konsument-markedet for å være viktigst?

Etter vår oppfatning gjør slike kommentarer vondt verre. For det første: At det meste av kildekoden for Norton Enterprise AV blir ‘open source’ i den forstand at alle kan se koden, burde ikke skape de store bekymringene. Ikke for Symantec og ikke for markedet. Hvis det ligger forretningshemmeligheter her – hvilket er lite sannsynlig, regner vi med at de er patenterte. Å misbruke koden utover å se på den for spesielt interesserte, er i beste fall krevende. 90% av 2GB kildekode blir som en motor uten stempler og styringselektronikk. Miljøer som trenger billig AV finner bootleg-kopier på nettet – på minutter. Nysgjerrige konkurrenter kan kanskje få inspirasjon eller ideer, men kan like godt hente dem fra ekte Open Source AV-produkter, og gjør trolig akkurat det.

Like fullt: Dette er ugreit for Symantec. Lekkasjen i seg selv er én ting. Intern kodekvalitet er en annen. Norton AV er gammel, overvektig og neppe egnet som utstillingsvindu. I motsatt fall kan Symantec komme ut av fadesen med flagget til topps. En demonstrasjon av kvalitet og ryddighet, om ikke akkurat god intern sikkerhet.

Kanskje sågar et incentiv til å gjøre produktet til reell Open Source. En ikke ukjent trend i tiden. Flere øyne på koden gir erfaringsmessig færre bugs og bedre kvalitet. Å få noen til å gjøre jobben frivillig, er en større utfordring. Hvilket understreker hvor lite offentliggjøringen av koden betyr i praksis. For 30 år siden var det vanlig å levere kildekoden sammen med produktet. Det var før advokater og markedsførere overtok kontrollen.

Lykke til med damage control til Symantec – og en uventet påminnelse om at AV har gått ut på dato (se Viruskampen er tapt, hva nå? og Antivirus ved veis ende.