Efter Heartbleed, buggen som kallats det största säkerhetshålet i nätets historia, så får Openssl nu konkurrens. Det är grundaren bakom operativsystemet Openbsd, Theo de Raadt, som tillsammans med ett grupp utvecklare skapat en egen gren av det öppna säkerhetsbiblioteket som fått namnet Libressl.

Theo de Raadt står också sedan tidigare bakom säkerhetsprogramvaran Openssh men har inte haft något att göra med Openssl tidigare. Efter att ha skapat sin egen gren av den öppna koden har han fått kritik för att han inte i stället bidrar till Openssl som redan används på hundratusentals webbservrar runt om i världen. Men enligt Theo de Raadt är Openssl så illa skött att det är bortom räddning.

Martin Löwdin: "Riktigt, riktigt allvarligt."

Till sajten Zdnet säger han att hans grupp tagit bort 90 000 rader onödig C-kod från Openssl på mindre än en vecka. Genom att rensa i koden hoppas han att den ska bli lättare att förstå och lättare att underhålla. Med den borttagna koden försvinner visserligen direktstöd för till exempel Windows, men enligt Theo de Raadt bryr sig 98 procent av användarna inte om det. I stället är det viktiga enligt honom stöd för generella programmeringsgränssnitt som fungerar både med olika Unixvarianter och i Windows.

Till en början utvecklas dock Libressl först och främst för Openbsd och ska ingå i version 5.6 av operativsystemet. Stöd för andra operativsystem kommer enligt projektets hemsida när koden är tillräckligt rensad, när det finns ett team av utvecklare på plats som kan göra jobbet och när tillräckligt med pengar samlats in till projektet. För att sätta extra press på bidragsgivarna har hela projektets webbsida designats med typsnittet Comic Sans, något som gruppen bakom projektet lovar ändra när kosingen strömmar in.

Steve Marquess som står bakom Openssl och Openssl Software Foundation säger till sajten Ars Technica att han inte vill kommentera arbetet med Libressl eftersom han inte haft tid att titta på projektet. I en bloggpost har han dock tidigare sagt att Openssl behöver mer pengar och bidrag i form av arbete för att fungera. Han har också riktat kritik mot företag som använde den öppna koden i sina produkter utan att själva bidra till projektet. Han skriver också att det inte är förvånade att en bugg som Heartbleed förekommer i ett projekt som drivs av överarbetade frivilliga utan att det snarare är konstigt att det inte händer oftare.

Fakta

Heartbleed, eller CVE-2014-0160, är namnet på en bugg i Openssl som är en populär uppsättning kryptografisk mjukvara för att skydda kommunikation på nätet. Openssl används för att skydda webbläsartrafik till och från så många som två tredjedelar av alla servrar på webben. Den används även till exempel för att skydda mejlservrar, chattservrar och vpn-tjänster.

Heartbleed-buggen låter en hackare stjäla information som - normalt sett - skyddas av krypteringen ssl/tls. Hålet utnyttjar en funktion kallad heartbeat, som låter webbservrar hålla säkra anslutningar öppna över en längre tid.

Genom att utnyttja Heartbleed-buggen kan en hackare tanka hem 64 kilobyte data åt gången från den aktuella serverns minne, och sedan göra det om och om igen tills de data hackaren är ute efter har samlats in. Det kan vara exempelvis användarnamn och lösenord som ligger i den aktuella serverns minne vid angreppet.