Det finns en oskriven regel när det handlar om buggar – meddela tillverkaren/utvecklaren, ge dem 90 dagar att fixa problemet – publicera ingen information innan dess. De 90 dagarna finns där för att kunna ta fram bra, korrekt fungerande buggfixar. Publiceringen av Log4j-buggen visar hur viktig denna regel faktiskt är.
Log4j är en javafunktion för att analysera loggfiler och det är en gammal funktion som funnits i flera år och som många använder. Den 9 december publicerades information om en allvarlig säkerhetsbugg i Log4j på Twitter. Ett inlägg som nu raderats och det sannolikt därför att den som publicerade informationen med all rätt fått mycket hård kritik.
Process
Det finns en process för hur buggar rapporteras, bekräftas, testas och hur de sedan åtgärdas och det är ett slags informellt protokoll för hur buggar ska hanteras.
- Buggen rapporteras till tillverkare/utvecklare
- Buggen kontrolleras, testas och därefter kommer en bekräftelse från tillverkaren samt en uppskattning om vilken tid som kan krävas för att åtgärda felet.
- En buggfix tas fram, testas, och sedan meddelas den som rapporterat buggen att det finns en buggfix och tillverkaren ber då vanligen om en test så att den som rapporterat felet kan bekräfta att problemet nu åtgärdats.
- Därefter släpps buggfixen publikt.
- En viss tid brukar vanligen få gå innan information om buggen publiceras.
Det är i det sammanhanget som 90 dagar brukar vara den gängse tidsperioden.
Tester
Hanteringen av Log4j-buggen visar med skrämmande tydlighet värdet av att den här processen faktiskt följs. Informationen om buggen publicerades utan att buggen rapporterats till utvecklare – det var en så kallad ”Zero-Day”. Kort efter det att informationen gjorts känd inleddes attacker mot sårbara system.
Utvecklare började då den stressiga uppgiften att under tidspress snabbt försöka att analysera buggen och ta fram en buggfix. I skrivande stund så har fem buggfixar för buggen tagits fram och skickats ut. Förklaringen till det är enkel – tidspressen har lett till att det inte funnits tid till några mer omfattade tester. Istället för en enda buggfix så har utvecklarna tvingats att ta fram fem buggfixar.
Hela hanteringen av den här buggen visar hur oseriösa publiceringar av information om buggar alltid drabbar användarna och hur de spelar hackare och kriminella rätt i händerna. Det finns bara en enda vinnare av den typen av publiceringar – brottslingarna.
Målkåta snutar
Det finns en klassisk replik i den svenska polis-filmen ”Mannen från Mallorca” där polischefen, som spelas av Ernst Günther, klargör för Thomas von Brömssen och Sven Wollter – ”Målkåta snutar är det värsta jag vet”. Byt ut snutar mot buggrapportörer, oseriösa målkåta buggrapportörer som söker bekräftelse och som vill ha sina 15 minuter av berömmelse.
Hittar du en bugg – följ protokollet och processen. Du kan till och med tjäna en slant om du gör det. Det finns en rad tillverkare som betalar för information om buggar i sina produkter.
