TDC: Vi har dummet os med open source-licens

Selvom TDC bruger open source-software i virksomhedens produkter, der er omfattet af GPL, gør virksomheden ikke ordentligt opmærksom på dette. Og den går ikke.

I den danske teleoperatør TDC's HomeBox-produkter, som bliver anvendt til at give kunderne forbindelse til internettet, ligger der open source-software. Softwaren er, som meget anden open source-software, underlagt GPL (The GNU General Public License). Nærmere bestemt version 2 af softwarelicensen.

Der er dog et problem i den sammenhæng. TDC gør ikke kunderne opmærksom på, at open source-software, bliver anvendt, eller hvilke modifikationer der er foretaget på softwaren i virksomhedens produkter. Og det skal der gøres opmærksom på jf. GPL V2.

»Jeps, det er en dum fejl fra vores side, som vi får rettet op på snarest muligt,« skriver pressechef i TDC Ib Konrad Jensen i en mail til Version2.

Det er selvstændig softwareudvikler med særlig interesse for embeddede systemer, Glenn Dufke, der i første gang studsede over, at TDC ikke ser ud til at leve op til GPL V2 i forhold til virksomhedens HomeBox-produkter.

Han har researchet sig frem til, at TDC's HomeBoxe, kommer fra franske Sagemcom, og at de kører på en tilpasset udgave af open source router-platformen OpenWRT.

»Når man logger på administrator-interfacet, så studsede jeg over, hvorfor der stod OpenWRT, og så tænkte jeg, hvad sker der her,« siger Glenn Dufke og fortsætter:

»Så var jeg heldig at få fat i en ekstra homebox, som jeg modificerede via en serialport på printet. Så kunne jeg få startup-sekvensen, og så kom det tydeligt frem, at det var baseret på OpenWRT.«

Sort kasse på væggen

Og i den forbindelse er det faldet Glenn Dufke for brystet, at TDC ikke i den medfølgende dokumentation eller i webinterfacet på routeren, henviser til den modificerede open source-software, som GPL V2 ellers lægger op til, der skal henvises til.

»Problemet er, den sidder som en sort kasse på væggen, og du ved ikke rigtigt, hvad den foretager sig,« siger Glenn Dufke og tilføjer:

»Jeg ved, der kører en række services på den box, som TDC blandt andet kan bruge til at lave fejlretning på forbindelsen.«

Af den årsag ville Glenn Dufke gerne have adgang til kildekoden, så han selv kunne verificere, at boksen på hans hjemmenetværk - der jo også kontrollerer indgående og udgående trafik - var forsvarligt sikret imod hacking.

»Hvis der er et sikkerhedshul, hvor der vil være fuld root adgang til HomeBox’en, så vil en ondsindet person i bund og grund kunne lægge et lille stykke software ind, der manipulerer med din trafik,« siger han.

Som et konkret eksempel på, hvor galt det kan gå, når der er huller i router-software, nævner Glenn Dufke eksemplet, hvor TDC’s datterselskab, YouSee, kom galt af sted ved at åbne op for brugernes routere, så uvedkommende kunne få adgang til ellers private hjemmenetværk.

Læs også: YouSee lukker for hotspots på grund af sikkerhedshul

Læs også: Yousee-fejl gav eksterne brugere adgang til private filer

Men det var altså ikke umiddelbart muligt for Glenn Dufke via de medfølgende oplysninger fra TDC at finde frem til kildekoden.

Men det bliver ændret, oplyser pressechef Ib Konrad Jensen uden dog at komme nærmere ind på, hvornår sådan en ændring måtte finde sted.

»Vi er opmærksomme på kravet om, at den modificerede version af open source-softwaren skal være tilgængelig, og vi forventer også, at Sagemcom vil sørge for det så snart som muligt på deres portal, opensource.sagemcom.com,« skriver Ib Konrad Jensen i en mail og fortsætter:

»P.t. har vi en SW-opdatering på vej fra Sagemcom, som kommer lidt i vejen for processen. Vi har valgt at gøre den proces færdig af hensyn til kunderne, og Sagemcom har forsikret os om, at snarest muligt derefter bliver koden lagt ud.«

Ib Konrad Jensen kan endnu ikke sige noget om, hvorvidt der fremover kommer en henvisning i den medfølgende manual eller i form af anden dokumentation i kombination med materialet på Sagemcoms portal. Men han understreger, at TDC naturligvis vil leve op til licensen.

Det gør TDC's datterselskab Yousee for eksempel, har Glenn Dufke erfaret. Han fortæller, at her bliver der også anvendt open source-software under GPL i hardwaren, hvilket virksomheden gør tydeligt opmærksom på i udstyrets web-interface.

TDC: Den kører BUSYBOX

Glenn Dufke og Ib Konrad Jensen er ikke helt enige om, hvilken type open source-software der anvendes i HomeBoxene fra TDC. I en mail fra pressechefen på spørgsmålet om, hvilken software og licens-version det drejer sig om, hedder det således:

»Boksen kører BUSYBOX Linux og er under GNU GENERAL PUBLIC LICENSE version 2.«

Ifølge Glenn Dufke er der dog også anvendt OpenWRT, hvilket han blandt andet har konstateret ved at se på kildekoden på opensource-code.com. Ifølge Dufke tjener domænet som Sagemcoms platform til udgivelse af open source-software.

»Embeddede platforme, herunder routere og router-modemmer, består af en Bootloader, BusyBox og middleware-platformen. I netværkssammenhæng typisk OpenWRT, som det også er tilfældet med TDC / Sagemcom. I Sagemcoms routere har de også benyttet open source-bootloaderen u-boot,« forklarer Glenn Dufke i en opfølgende mail til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Rasmussen

»Vi er opmærksomme på kravet om, at den modificerede version af open source softwaren skal være tilgængelig, og vi forventer også, at Sagemcom vil sørge for det så snart som muligt på deres portal, opensource.sagemcom.com,« skriver Ib Konrad Jensen

=Vi ved det godt....

»Pt. har vi en SW-opdatering på vej fra Sagemcom, som kommer lidt i vejen for processen. Vi har valgt at gøre den proces færdig af hensyn til kunderne, og Sagemcom har forsikret os om, at snarest muligt derefter bliver koden lagt ud.«

=Vi har bare så travlt med at tjene penge at vi ikke tid til at overholde vores aftaler...


Dårlig undskyldning og pegen fingre andre steder hen. Det er TDC der sælger produktet, og det er TDC der skal sørge for at det overholder de få og rimelige regler der er. Den opdatering forhindrer jo ikke at man overholder reglerne (de skal jo også overholdes inden opdateringen)- det er den tyndeste undskyldning man kan finde på.

  • 32
  • 2
Thue Kristensen

Nu misbruger Mediehuset Ingenøren, som Version2 er en del af, jo også open source materiale i stor stil, uden at give den af licensen påkrævede attribution. Helt specifik så er det ikke nok at skrive "Foto: Wikipedia" når man bruger et billede fra Wikipedia; afhængig af licensen for det specifikke billede skal som regel skrive hvem brugeren som har skabt billedet er, og linke til licensen.

Så jeg synes at det er noget påfaldende at Version2 skriver en artikel hvor de kritiserer TDC for noget lignende.

Eksempler på billeder: https://www.google.com/webhp#q=%22Foto:+Wikipedia%22+site:ing.dk

  • 5
  • 2
Peter Stricker

Jeg synes at det er fint, at du gør Mediehuset Ingeniøren opmærksom på, at de kan forbedre sig.

Men denne sætning lugter lidt af relativisering:

Så jeg synes at det er noget påfaldende at Version2 skriver en artikel hvor de kritiserer TDC for noget lignende.


Mener du, at Version2 burde stoppe med at dække overtrædelser af GPL eller andre licenser?

  • 16
  • 0
Bent Jensen

Send source koden nu. Eller link til den
Når den kommer en version.
Send den nye source kode. Eller link til den

Eller skal man bruge tid på at fjerne beviser for adgang til NSA ?

Også en lille seddel med Licens betingelser og link til source, når man sender den ud, de har normalt ikke svært ved at sende information ud om alt det man ikke må.

Er det ikke en sag, for et sagsanlæg som i Tyskland, TDC har jo stadig mange penge ?

  • 2
  • 0
Bjørn Dirchsen

Licensregler skal overholdes.
Selvfølgelig skal de det. Det er der ingen diskussion om.
Men når det så er sagt, hvad er problemet så? Der mangler en tekststreng begravet i et embedded system. Hvordan kan nogen (inkl. mig selv) bruge tid på at diskutere en - i praksis - mikrodetalje - som ingen betydning har for nogen?
Fint, der mangler en tekststreng.

"Det noterer vi på en gul lap til næste release. Tak for henvendelsen.
Vh. TDC"
Done.

Jeg forstår ikke at nogen gider gå op i den slags småting. Brug tiden til noget fornuftigt i stedet.

  • 0
  • 23
Mikkel Kirkgaard Nielsen

"..som GPL V2 ellers lægger op til.."

Kan ikke lade være med at finde det påfaldende at man er så skrigende subjektiv i rapporteringen når man forholder sig til brud på copyright. Virksomhedernes holdning skinner selvfølgelig igennem, men en neutral presse burde rapportere mere objektivt end dette.

Den selvsamme forseelse ville man formentlig kalde pirateri og opfatte som vækst/samfunds/forretnings-undergravende, hvis det drejede sig om systematisk copyright-brud på proprietær software som et specifikt og veldefineret firma tjener penge på.
Men fordi dette er fri software(/open source), som kun har potentiale til at komme hele menneskeheden til gode, så opfattes licensen som noget der er "lagt op til".
Det er jo hovedrystende forudindtaget. Bestemmelserne i GPL er selvfølgelig lige så gyldige som ethvert andet sæt betingelser en ophavsretsindehaver kunne finde på at videredistribuere sit værk under.

Angående sagens substans er betingelserne i GPL v2 klare og veldefinerede og har været det siden 1991. Det kommer ikke bag på nogen der har fingrene i sovsen, heller ikke sagem/sagemcom som har været med længe, at brugeren skal gøres opmærksom på at et produkt indeholder GPL-software, og at kildekoden der anvendes i produktet skal gøres tilgængelig for brugeren.

Alt andet er klaphatteri og klamp, usympatisk, undergravende og uden respekt for det arbejde der profiteres af ved at anvende fri software som grundlag for sin kommercielle eksistens. Man må følge reglerne eller lade være med at lege med hvis man ikke er i stand til at sætte sig ind i dem, det forlanger virksomhederne også selv af deres kunder.

Godt at se at der er velvilje fra TDC, det burde bare have foregået på forkant i stedet for bagkant. Håber dog de får fat i nogle mere kompetente mennesker at spørge end dem der har svaret "Boksen kører BUSYBOX Linux", ellers er det op ad bakke.

Mikkel

  • 27
  • 0
Ole Tange Blogger

Vi kommer alle til at lave fejl. Jeg synes, det klæder TDC, at de erkender fejlen og nu går i gang med at rette op på den. Det er i skarp modsætning til f.eks. VMware, som ikke bare går imod GPLs ånd, men sandsynligvis også GPLs bogstav: https://sfconservancy.org/linux-compliance/vmware-lawsuit-faq.html

"Never attribute to malice that which can be adequately explained by incompetence."

Men hvis TDCs fejl om en måned stadig ikke er rettet, så der der ikke længere tale om incompetence.

  • 10
  • 0
Nicolai Rasmussen

Licensregler skal overholdes.
Selvfølgelig skal de det. Det er der ingen diskussion om.
Men når det så er sagt, hvad er problemet så?

Problemet er at de IKKE overholder de licensregler som du selv er enig i de skal overholde. Problemet ved ikke at overholde licensreglerne for opensource er at kildekoden ikke kan tilgås, og at man derfor ikke har mulighed for at se hvad der foregår. Det er formålet med licensen. De personer der har foræret deres arbejde væk til os alle sammen, har krævet at arbejdet forbliver frit tilgængeligt, og at man kan se tydeligt at det er frit og tilgængeligt. Det er en meget lille pris for TDC at betale. Ikke engang det kunne de overkomme - men de kunne godt overkomme at sælge produktet efter at have sparet en masse udviklingskroner ved at benytte opensource.

Hvordan kan nogen (inkl. mig selv) bruge tid på at diskutere en - i praksis - mikrodetalje - som ingen betydning har for nogen?
Fint, der mangler en tekststreng.

Jeg tror du er ramt af "Hvis jeg ikke forstår det, kan det ikke være vigtigt". At noget ikke har betydning for dig, er ikke det samme som at det ikke har betydning for nogen.

Hvis du ikke forstår betydningen så spørg andre før du erklærer det for uvigtigt.

  • 17
  • 0
Rasmus Rohde

Jeg har siden slutningen af november 2014 forsøgt at få udleveret kildekode til den Linux/Busybox-kombination, der benyttes på Youbio-boksen. Cirka en gang om måneden, når jeg rykker for et svar, får jeg en ny dårlig undskyldning.
Ifølge de informationer jeg har modtaget, så er TDC/Yousee i dialog med Netgem, der har produceret boksen, og jeg vil tro, at problemet ligger hos dem. Det fritager dog på ingen måde Yousee for ansvaret, da de er distributør af boksen.

Tilbage i november 2014 gjorde jeg også Ib Konrad Jensen opmærksom på problemet i en e-mail, og på trods af at han aldrig har besvaret den, så er jeg ret overbevist om, at den har ramt den rigtige postkasse.

Inkompetence er da en mulighed, men det virker mere som et bevidst valg at ignorere licensbetingelserne i GPLv2.

  • 21
  • 0
Glenn Dufke

Hvis man kigger i denne kildekode udgivelse fra sagemcom der hører til en af deres andre router-modemmer distribueret i udlandet vil man i filen .config linje 76, 79 og 93 specielt bemærke fremkomsten af TDCs hardware platforme. Søger man videre er der endnu flere referencer.
(denne fil styre hvilken hardware platform sagemcoms (openwrt) platform skal kompileres til)

Kigger man i filen README står der sjovt nok også OpenWRT.
- Dette har TDC ikke kunne svare mig på hvorfor, men til at starte med pure afvist boksene er baseret på OpenWRT som grundplatform.

http://www.opensource-code.com/fileadmin/user_upload/F5350GV/OpenSource_...

  • 7
  • 0
Poul-Henning Kamp Blogger

Inkompetence er da en mulighed, men det virker mere som et bevidst valg at ignorere licensbetingelserne i GPLv2.

For det første skal du ikke underestimere hvor inkompetente store firmaer er til den slags spørgsmål, specielt hvis de er ubekvemme og kommer ind fra siden.

For det andet er der en slem tendens blandt deres advokater til at reagere med "Vi venter til de inviterer os i byretten" mens de gambler på at forbrugere og andre "småkravl" ikke har råd og tid til at få deres rettigheder forsvaret.

Det eneste gode man kan sige om situationen er at sociale medier har givet os en "back-channel" som selv de største firmaer har lært at respektere, men problemet med den er at Neil Gaiman jo ikke har tid til at retweete alle verdens problemer med store firmaer :-(

Hvis ikke TDC får fingeren ud er det bestemt besværet værd at finde en der har en copyright involveret til at sagsøge dem, det ville være rigtig rart at få en dom for at FOSS licenser ikke bare er "for sjov" som mange bigcorp advokater tilsyneladende tror.

  • 4
  • 0
Glenn Dufke
  • 2
  • 0
Glenn Dufke
  • 0
  • 0
Glenn Dufke

Er det overhoved en god idé at bruge det der opensource?

Ja, det ER en god ide at bruge open source software. Hvorfor skulle man så spørge.. Jo ser du, med open source software får du et virkeligt solidt fundament at bygge resten af "huset". Hvis du selv skulle bruge mandetimer og udviklingskroner ville løbet for længst være kørt og du vil næppe munde ud i et produkt der er knapt så stabilt efter n revisioner om n år.
I dag går udviklingen af nye teknologier så stærkt samtidig med vi er presset fra det asiatiske hjørne så der er hverken tid til eller fidus i at opfinde den dybe tallerken selv eller binde sig til et kommercielt produkt hvor du er bundet til leverandøren.

Jeg er selv fortaler for open source software og åbne standarder i så vid udstrækning hvor det er muligt og tilmed en økonomisk gevinst.

Der hvor problemet opstår med open source software i kommercielle og propritære produkter, i dette tilfælde TDC og deres HomeBoxe er at man ikke har investeret resourcer i at forstå hvad det er for en platform man køber, hvad den er baseret på og hvilke licenser der medfølger. I stedet vælger man at tage skyklapper på og tænker "går den så går den". Dette fritager ikke en virksomhed for at bære et ansvar for at forstå og efterkomme de licenser deres indkøbte platforme er baseret på.

Bevares, GPLv2 er en mere restriktiv licens på den front i modsætning til fx BSD eller MIT.

Så hvis open source ikke havde været så godt som det er tilfælde havde vi ikke set det benyttet i lige fra high end spillekonsoller, netværksudstyrm smartphones, store clustered datacentre, missionskritisk rum udstyr, sundhedssektoren eller high performance super computing.

Just my two cents :)

  • 2
  • 0
Log ind eller Opret konto for at kommentere