Opinie

Het lot van het internet ligt in de handen van zes vrijwilligers

Marc Hijink

Code rood – het donkerste rood – in de softwarewereld. Beveiligingsbedrijven, webontwikkelaars, systeembeheerders en softwareleveranciers buitelen over elkaar heen omdat een lek is gevonden in een veelgebruikt stukje serversoftware. Log4J heet het.

Het gaat om een kwetsbaarheid in miljoenen webdiensten en apps. Je hoeft geen raketgeleerde te zijn om er misbruik van te maken. Elke vijfjarige die Minecraft speelt, kan binnendringen zonder een inlognaam of wachtwoord te weten. Vandaar die code rood: hackers zoeken massaal naar kwetsbare servers. Eenmaal binnen hebben ze vaak vrij spel.

Log4J is openbronsoftware, ontwikkeld door een handvol programmeurs die hun code gratis ter beschikking stellen aan iedereen die deze wil gebruiken. Het gaat om een internationale gemeenschap met vrijwilligers zoals Ralph Goers, uit Wandell, Arizona. Volgens zijn Facebook-pagina heeft Ralph twee kinderen – een zoon en een dochter – en knutselt hij buiten werktijd graag aan dit stukje software dat logboeken bijhoudt op webdiensten.

Ook vanuit Nederland wordt aan Log4J gewerkt, bijvoorbeeld door Volkan Yazici, een programmeur die voor bol.com werkt en in zijn vrije tijd aan Log4J sleutelt. Er zijn welgeteld zes actieve ontwikkelaars aan dit project bezig, laat Yazici per mail weten. En ze lopen zich momenteel allemaal het vuur uit de sloffen om het web te redden.

Ook al is het een hobbyproject, Log4J is zo handig dat grote softwarebedrijven het massaal in hun producten gebruiken. Die verkopen ze vervolgens door aan hun klanten. De lijst kwetsbare programma’s en leveranciers lijkt eindeloos. Een greep: Cisco, Broadcom, IBM, Juniper, McAfee, Microsoft, Oracle, Redhat, maar ook Apple, Tesla en Twitter. Al deze techbedrijven zijn nu afhankelijk van een klein clubje vrijwilligers.

Lees ook: Log4J is een clusterbom voor de hele computerindustrie

Het lijkt knullig, zo’n fundamentele fout die door bijna iedereen over het hoofd is gezien. Alsof de Formule 1-auto van Max Verstappen in elkaar gezet werd met een paar gratis bouten en moeren waarvan de herkomst onduidelijk is. Als de auto vervolgens zijn wielen verliest, ligt dat dan aan die gratis moeren of aan degene die ze zonder controle heeft gemonteerd?

De ene expert vergelijkt Log4J met suiker (verslavend), de ander met asbest (schadelijk). Het zijn allebei geen complimenteuze omschrijvingen.

„Houd op met ons te bashen”, reageerde Volkan Yazici al op Twitter. Het is te begrijpen waarom hij wat narrig reageert – in de voorbije 48 uur heeft hij twee uur geslapen. Het Log4J-project doet hij erbij, en gelukkig krijgt hij van zijn werkgever bol.com daarvoor wat ruimte. „Tijd is een schaars goed”, vertelt Yazici. „We werken onafgebroken. Brainstormen, code schrijven, documenten updaten, bedrijven helpen.” Het is een klus waar hij niet om gevraagd heeft en waar hij niet voor betaald wordt. Dat geldt ook voor de andere ontwikkelaars in het team, zoals Remko Popma, een Nederlander die vanuit Tokio aan Log4J werkt. 

De ernstige kwetsbaarheid die nu voor paniek zorgt, legt een meer structurele kwetsbaarheid bloot: het gebrek aan financiële steun voor openbronsoftware. De grote techbedrijven zijn, zoals Log4J bewijst, heel gretig met het gebruik van gratis code. Maar ze zijn niet scheutig met ondersteuning van de programmeurs die zulke belangrijke bijdrages leveren.

De meeste ontwikkelaars van openbronsoftware kunnen niet rondkomen van sponsoring en giften. Ze doen het ernaast, in hun vrije tijd, en hebben dus weinig mogelijkheden fouten te repareren. Zeker als deze aanpassingen gevolgen hebben voor een grote groep actieve gebruikers.

Zo kan het dat grote delen van het web en de cloud afhankelijk zijn van liefdewerk oud papier, van vrijwilligers die er elk moment de brui aan kunnen geven. Big Tech zit dan weliswaar voor een dubbeltje op de eerste rang, maar erg comfortabel zit dat niet.

Marc Hijink schrijft op deze plek over technologie.  Twitter: @MarcHijinkNRC

Reageren

Reageren op dit artikel kan alleen met een abonnement. Heeft u al een abonnement, log dan hieronder in.