• En berättelse om öppen källkod och säkerhet

    Under våren 2021 blev vi kontaktade av en säkerhetskonsult som hittat brister i vår programkod. Här berättar vi om vad som hände och varför just öppen källkod hjälpt oss att bli säkrare. Men först… varför är säkerhet så viktigt?

    IT-säkerhet - varför är det så viktigt?

    Med information kan vi göra många olika saker beroende på ändamålet. Vi kan lagra den, kommunicera den, förädla den och använda den till att skapa mervärde för just oss. Den är helt enkelt en väldigt viktig del av vår vardag. 

    Viss information är också väldigt värdefull ur andra aspekter. För en organisation kan det vara forskningsresultat, den konfidentiella basen för hela verksamheten eller olika affärsdokument.

    För privatpersoner kan det vara ditt bankkonto eller din e-post inkorg. Eller livsviktig information som kan få väldigt allvarliga följder om den skulle försvinna eller bli felaktig, som medicinska journaler.

    Säkerhet kostar pengar

    Det enda system som kan anses vara någorlunda helt säkert är system som inte är kopplade till internet. De flesta andra system går att hacka med olika grader av komplexitet.

    Stor säkerhet innebär också hög kostnad, så nivån av säkerhet måste anpassas till vilken information som ska säkras. En annan aspekt är tillgänglighet och lätt användbarhet kontra säkerhet. Att ha både och är en stor utmaning. Så oftast får man även där väga de två mot varandra.

    Om det inte är rätt säkerhetsnivå för din information kan följderna antingen vara att säkerheten är för låg och man får stora skador - eller att det blir för dyrt och för krångligt att använda systemen.

    Om säkerheten brister påverkar det framförallt förtroendet för organisationen och tjänsten. Naturligtvis är det ännu värre vid upprepade brister.


    Hur jobbar vi med säkerhet på imCode?

    Utvecklingen inom IT går väldigt fort. Det som var säkert igår är ofta inte säkert idag, De system som byggdes för att vara smarta, lättanvända och smidiga för administratörer, knäcks av smarta hackers som utnyttjar smidigheten.

     Vi på imCode kan inte göra annat än att följa utvecklingen. Att ständigt vara observant på egen kod och konstant ställa oss frågan - på vilket sätt kan just den här funktionen utnyttjas för att hacka våra system.

    Det går bra för det mesta - men ibland misslyckas vi. Det är då fördelarna med öppen källkod visar sig.


    Fördelen med open source 

    Vi blev kontaktade av en hacker, Jinny Ramsmark, som idag arbetar som säkerhetskonsult. Hon skrev att hon tankat ner vår kod för vårt webbverktyg och analyserat den “med hacker-ögon”. Och hon hade hittat problem. Inte direkta möjligheter att förändra lagrad data, men väl funktioner som kunde utnyttjas för att läsa ut och ev komma åt annan data på samma nätverk.

    Systemet har aldrig haft intrång, aldrig kunnat ses som osäkert. Men hon hade rätt. Det visade sig att en del gamla funktioner, som funnits kvar i systemet numera kunde utnyttjas dels för att läsa ut data och dels för att överbelasta systemet.

    Lite senare var hålen tilltäppta och säkerheten återställd.


    Att hjälpa varandra

    Det här förloppet hade aldrig kunnat ske om vår kod inte varit öppen. Tack vare open source communityt kan säkerhetsbristerna upptäckas och åtgärdas snabbare och kostnadseffektivare. 

    I  och med att koden är just öppen så kan vem som helst undersöka den och peka på eventuella svagheter eller säkerhetsbrister.  I open source communityt så finns en beredskap att göra just detta och hjälpa varandra att utvärdera koden i programvaran. 

    Tack Jinny! Vi kommer definitivt att återkomma när det är dags att säkerhetstesta vårt nya system, med färsk kod.