TDC: Vi har dummet os med open source-licens

Selvom TDC bruger open source-software i virksomhedens produkter, der er omfattet af GPL, gør virksomheden ikke ordentligt opmærksom på dette. Og den går ikke.

I den danske teleoperatør TDC's HomeBox-produkter, som bliver anvendt til at give kunderne forbindelse til internettet, ligger der open source-software. Softwaren er, som meget anden open source-software, underlagt GPL (The GNU General Public License). Nærmere bestemt version 2 af softwarelicensen.

Der er dog et problem i den sammenhæng. TDC gør ikke kunderne opmærksom på, at open source-software, bliver anvendt, eller hvilke modifikationer der er foretaget på softwaren i virksomhedens produkter. Og det skal der gøres opmærksom på jf. GPL V2.

»Jeps, det er en dum fejl fra vores side, som vi får rettet op på snarest muligt,« skriver pressechef i TDC Ib Konrad Jensen i en mail til Version2.

Det er selvstændig softwareudvikler med særlig interesse for embeddede systemer, Glenn Dufke, der i første gang studsede over, at TDC ikke ser ud til at leve op til GPL V2 i forhold til virksomhedens HomeBox-produkter.

Han har researchet sig frem til, at TDC's HomeBoxe, kommer fra franske Sagemcom, og at de kører på en tilpasset udgave af open source router-platformen OpenWRT.

»Når man logger på administrator-interfacet, så studsede jeg over, hvorfor der stod OpenWRT, og så tænkte jeg, hvad sker der her,« siger Glenn Dufke og fortsætter:

»Så var jeg heldig at få fat i en ekstra homebox, som jeg modificerede via en serialport på printet. Så kunne jeg få startup-sekvensen, og så kom det tydeligt frem, at det var baseret på OpenWRT.«

Sort kasse på væggen

Og i den forbindelse er det faldet Glenn Dufke for brystet, at TDC ikke i den medfølgende dokumentation eller i webinterfacet på routeren, henviser til den modificerede open source-software, som GPL V2 ellers lægger op til, der skal henvises til.

»Problemet er, den sidder som en sort kasse på væggen, og du ved ikke rigtigt, hvad den foretager sig,« siger Glenn Dufke og tilføjer:

»Jeg ved, der kører en række services på den box, som TDC blandt andet kan bruge til at lave fejlretning på forbindelsen.«

Af den årsag ville Glenn Dufke gerne have adgang til kildekoden, så han selv kunne verificere, at boksen på hans hjemmenetværk - der jo også kontrollerer indgående og udgående trafik - var forsvarligt sikret imod hacking.

»Hvis der er et sikkerhedshul, hvor der vil være fuld root adgang til HomeBox’en, så vil en ondsindet person i bund og grund kunne lægge et lille stykke software ind, der manipulerer med din trafik,« siger han.

Som et konkret eksempel på, hvor galt det kan gå, når der er huller i router-software, nævner Glenn Dufke eksemplet, hvor TDC’s datterselskab, YouSee, kom galt af sted ved at åbne op for brugernes routere, så uvedkommende kunne få adgang til ellers private hjemmenetværk.

Læs også: YouSee lukker for hotspots på grund af sikkerhedshul

Men det var altså ikke umiddelbart muligt for Glenn Dufke via de medfølgende oplysninger fra TDC at finde frem til kildekoden.

Men det bliver ændret, oplyser pressechef Ib Konrad Jensen uden dog at komme nærmere ind på, hvornår sådan en ændring måtte finde sted.

»Vi er opmærksomme på kravet om, at den modificerede version af open source-softwaren skal være tilgængelig, og vi forventer også, at Sagemcom vil sørge for det så snart som muligt på deres portal, opensource.sagemcom.com,« skriver Ib Konrad Jensen i en mail og fortsætter:

»P.t. har vi en SW-opdatering på vej fra Sagemcom, som kommer lidt i vejen for processen. Vi har valgt at gøre den proces færdig af hensyn til kunderne, og Sagemcom har forsikret os om, at snarest muligt derefter bliver koden lagt ud.«

Ib Konrad Jensen kan endnu ikke sige noget om, hvorvidt der fremover kommer en henvisning i den medfølgende manual eller i form af anden dokumentation i kombination med materialet på Sagemcoms portal. Men han understreger, at TDC naturligvis vil leve op til licensen.

Det gør TDC's datterselskab Yousee for eksempel, har Glenn Dufke erfaret. Han fortæller, at her bliver der også anvendt open source-software under GPL i hardwaren, hvilket virksomheden gør tydeligt opmærksom på i udstyrets web-interface.

TDC: Den kører BUSYBOX

Glenn Dufke og Ib Konrad Jensen er ikke helt enige om, hvilken type open source-software der anvendes i HomeBoxene fra TDC. I en mail fra pressechefen på spørgsmålet om, hvilken software og licens-version det drejer sig om, hedder det således:

»Boksen kører BUSYBOX Linux og er under GNU GENERAL PUBLIC LICENSE version 2.«

Ifølge Glenn Dufke er der dog også anvendt OpenWRT, hvilket han blandt andet har konstateret ved at se på kildekoden på opensource-code.com. Ifølge Dufke tjener domænet som Sagemcoms platform til udgivelse af open source-software.

»Embeddede platforme, herunder routere og router-modemmer, består af en Bootloader, BusyBox og middleware-platformen. I netværkssammenhæng typisk OpenWRT, som det også er tilfældet med TDC / Sagemcom. I Sagemcoms routere har de også benyttet open source-bootloaderen u-boot,« forklarer Glenn Dufke i en opfølgende mail til Version2.