Παίξτε τα παλιά σας παιχνίδια 3dfx Glide σε σύγχρονο hardware!

Ο Link Mauve, ένας ανεξάρτητος χομπίστας προγραμματιστής, δημιούργησε το Grover, ένα front-end υλοποίησης του Glide API για το Gallium3D της Mesa χρησιμοποιώντας τη γλώσσα προγραμματισμού Rust, αναφέρει το Phoronix. Η στοίβα οδηγών (driver stack που λέμε και στο Winterfell) Gallium 3D της Mesa περιλαμβάνει οδηγούς ανοιχτού κώδικα για το σύγχρονο υλικό Radeon της AMD και Gen ή Xe της Intel, κάτι που ουσιαστικά σημαίνει ότι θα είναι δυνατή η αναπαραγωγή παλαιών παιχνιδιών που βασίζονται στο Glide σε σύγχρονες GPUs. Ωστόσο, υπάρχουν ορισμένες επιφυλάξεις.

Δεδομένου ότι το Glide χρησιμοποιήθηκε κυρίως για παιχνίδια Windows και ο Mauve δεν είχε πρόσβαση σε κάποιο παιχνίδι που βασίζεται στο Glide για Linux, χρησιμοποίησε δείγματα κώδικα και το παιχνίδι Pandemonium του 1997 για να δοκιμάσει την υλοποίησή του. Για τον ίδιο ακριβώς λόγο, δεν μπόρεσε να υλοποιήσει το σύστημα παραθύρων "winsys", το οποίο είναι ένα σημαντικό χαρακτηριστικό. Πάντως, εκτός από την απευθείας εκτέλεση, μια άλλη πιθανή περίπτωση χρήσης του Grover είναι μέσα στο Wine / Proton.

Ο  Link Mauve κατάφερε να τρέξει με επιτυχία μια εφαρμογή σε περιβάλλον Linux κάνοντας χρήση σύγχρονου hardware.(Εικόνα: Phoronix)

Ο Mauve θεωρεί ότι το Grover είναι ένα έργο σε εξέλιξη: "Συνολικά, δεν περιμένω να χρησιμοποιηθεί πολύ αυτός ο οδηγός, τον έγραψα κυρίως για διασκέδαση και για να πειραματιστώ με το Rust μέσα στο Mesa, αλλά σκοπεύω να τον συντηρήσω και τελικά να τον κάνω να υποστηρίζει όλα τα APIs που χρησιμοποιούνται από όλα τα παιχνίδια της εποχής 1996-2000 που το στόχευαν" , σημείωσε στο merge request στο GitHub.

Το Glide API αναπτύχθηκε από την 3dfx τη δεκαετία του '90 για τους θρυλικούς επιταχυντές Voodoo Graphics. Το Glide ήταν το αρχικά ιδιόκτητο, αλλά στη συνέχεια μετατράπηκε σε ανοιχτό API γραφικών, το οποίο όμως δεν χρησιμοποιείται ευρέως από το 1999 μιας και το OpenGL μαζί με το Direct3D κατέχουν τα πρωτεία. Υπήρχαν και παλαιότερα κάποιοι εξομοιωτές Glide οι οποίοι δρομολογούσαν το rendering μέσω OpenGL, το νέο front-end του Mesa όμως θα επιτρέπει πλέον την εγγενή υποστήριξη στους σύγχρονους οδηγούς. Η υποστήριξη Glide από το Gallium3D είχε συζητηθεί και πριν από μια δεκαετία, χωρίς κάποιο αποτέλεσμα. Αυτή τη φορά όμως το Glide καταφέρνει να περάσει στο mainline Mesa.

Όσον αφορά την αναπαραγωγή παλαιών βιντεοπαιχνιδιών για Windows που δεν τρέχουν σε σύγχρονους υπολογιστές γενικότερα, είναι δυνατή η κατασκευή ενός συστήματος με τη χρήση παλιού hardware το οποίο έχει προγράμματα οδήγησης για Windows 2000 ή Windows XP. Η προμήθεια όμως λειτουργικών καρτών γραφικών GeForce ή Radeon από τις αρχές της δεκαετίας του 2000 είναι αρκετά δύσκολη, ενώ η απόκτηση μιας κάρτας 3dfx Voodoo από τα τέλη της δεκαετίας του 1990 για παιχνίδια που χρησιμοποιούν αποκλειστικά το API Glide είναι ακόμα δυσκολότερη. 

Λαμβάνοντας υπόψη όλες τις δυσκολίες και τα κόστη που σχετίζονται με την προμήθεια συμβατού hardware, η εκτέλεση παλιών παιχνιδιών σε περιβάλλον Linux με την χρήση του Wine/Proton αποτελεί πλέον την μοναδική βιώσιμη επιλογή.

Το Qt, η "μηχανή" πίσω από την επιφάνεια εργασίας του KDE, ανακοινώνει την υποστήριξη για διαφημίσεις σε client-side εφαρμογές», σύμφωνα με το Neowin. Το Qt Digital Advertising 1.0 είναι η νέα πλατφόρμα διαφημίσεων που επιτρέπει στους προγραμματιστές να ενσωματώνουν εύκολα διαφημίσεις σε εφαρμογές πολλαπλών πλατφορμών που βασίζονται σε Qt.

Αν και είναι αμφίβολο ότι θα δείτε διαφημίσεις στις βασικές εφαρμογές του KDE, θα ήταν δυνατό για τις διανομές που επιθυμούν να δημιουργήσουν περαιτέρω έσοδα από την εργασία τους να δημιουργήσουν fork αυτών των εφαρμογών και να τοποθετήσουν διαφημίσεις σε αυτές

Σύμφωνα με την τεκμηρίωση, η προσθήκη διαφήμισης υποστηρίζει μια ποικιλία λειτουργικών συστημάτων:

- Windows 10
- Ubuntu 20.04
- Raspbian Buster
- macOS
- Android 7.0
- iOS

Στο δελτίο τύπου που δόθηκε στη δημοσιότητα αναφέρεται ότι «η προσφορά μας στοχεύει να ταράξει τα νερά στην βιομηχανία IoT, επιτρέποντας νέα επιχειρηματικά μοντέλα και σχέδια που πριν δεν ήταν δυνατόν να πραγματοποιηθούν», ενώ καταλήγει λέγοντας ότι η "Qt παρέχει για πρώτη φορά ένα εργαλείο στους προγραμματιστές του για να τους βοηθήσει να μεγιστοποιήσουν τα έσοδά τους. Οι προγραμματιστές του Qt μπορούν να κερδίσουν χρήματα από τις εφαρμογές τους. Για το υπόλοιπο του 2022, θα επικεντρωθούμε σε νέα εργαλεία για να κάνουμε τη ροή εργασιών ανάπτυξης διαφημίσεων απλούστερη και ταχύτερη. Ταυτόχρονα θα προσθέσουμε νέους συνεργάτες και τεχνολογίες για να βοηθήσουμε τους χρήστες και τους προγραμματιστές μας να δημιουργήσουν έσοδα με τον πιο αποτελεσματικό τρόπο. Είναι ένα νέο προϊόν για το Qt και θα εκτιμούσαμε τη συλλογή σχολίων όσο το δυνατόν νωρίτερα."

Οι on-premise Microsoft Exchange servers δεν μπορούν να παραδίδουν μηνύματα ηλεκτρονικού ταχυδρομείου από την 1η Ιανουαρίου 2022, λόγω ενός σφάλματος στη anti-malware μηχανή σάρωσης FIP-FS, που ονομάστηκε "Year 2022".

Ξεκινώντας με τον Exchange Server 2013, η Microsoft ενεργοποίησε thn μηχανή σάρωσης FIP-FS anti-spam και anti-malware από προεπιλογή για την προστασία των χρηστών από κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου. Σύμφωνα με πολυάριθμες αναφορές από τους διαχειριστές του Microsoft Exchange παγκοσμίως, ένα σφάλμα στη μηχανή FIP-FS εμποδίζει την παράδοση email σε on-premise servers από τα μεσάνυχτα της 1ης Ιανουαρίου 2022.

Ο ερευνητής ασφαλείας και διαχειριστής του Exchange Joseph Roosen είπε ότι αυτό προκαλείται από τη χρήση μιας υπογεγραμμένης μεταβλητής int32 για την αποθήκευση της τιμής μιας ημερομηνίας, η οποία έχει μέγιστη τιμή 2.147.483.647. Ωστόσο, οι ημερομηνίες του 2022 έχουν ελάχιστη τιμή 2.201.010.001 ή μεγαλύτερη, η οποία είναι μεγαλύτερη από τη μέγιστη τιμή που μπορεί να αποθηκευτεί στην υπογεγραμμένη μεταβλητή int32, με αποτέλεσμα η μηχανή σάρωσης να αποτυγχάνει να ολοκληρωθεί και η αλληλογραφία να μην αποδεσμεύεται για παράδοση. Όταν συμβεί αυτό το σφάλμα, θα εμφανιστεί ένα σφάλμα 1106 στο αρχείο καταγραφής συμβάντων του Exchange Server που αναφέρει, "The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long".

Η Microsoft θα χρειαστεί να κυκλοφορήσει μια ενημερωμένη έκδοση του Exchange Server που χρησιμοποιεί μια μεγαλύτερη μεταβλητή για να κρατήσει την ημερομηνία για να διορθώσει αυτό το σφάλμα.

Ωστόσο, για τους on-premise Exchange servers που επηρεάζονται αυτήν τη στιγμή, οι διαχειριστές έχουν διαπιστώσει είναι δυνατή η απενεργοποίηση της μηχανής σάρωσης FIP-FS για να επιτραπεί η εκ νέου παράδοση των μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το κακό σε αυτή τη ανεπίσημη λύση είναι ότι η παραδοθείσα αλληλογραφία δεν θα σαρώνεται πλέον από τη μηχανή σάρωσης της Microsoft, με αποτέλεσμα περισσότερα κακόβουλα ή/και ανεπιθύμητα μηνύματα να φτάσουν στους τελικούς χρήστες.

Στο κλείσιμο του άρθρου, είδαμε ότι η Microsoft εξέδωσε μια προσωρινή διόρθωση για το συγκεκριμένο bug, την οποία μπορείτε να βρείτε εδώ: 

Microsoft releases emergency fix for Exchange year 2022 bug

WWW.BLEEPINGCOMPUTER.COM

---

Microsoft has released an emergency fix for a year 2022 bug that is breaking email delivery on on-premise Microsoft Exchange servers.

Μέχρι τώρα, ήταν γνωστό ότι όλες οι ευπάθειες του Log4j περιοριζόταν σε εκτεθειμένους ευάλωτους διακομιστές.

Τελικά αυτό αποδεικνύεται ότι δεν ισχύει. Η εταιρεία ασφαλείας Blumira ισχυρίζεται ότι έχει βρει ένα νέο τρόπο επίθεσης στο Log4j. Σύμφωνα με την Blumira, αυτή η πρόσφατα ανακαλυφθείσα επίθεση με Javascript WebSocket μπορεί να αξιοποιηθεί μέσω της διαδρομής ενός διακομιστή ακρόασης στον υπολογιστή ή στο τοπικό δίκτυο. Ένας εισβολέας μπορεί απλώς να πλοηγηθεί σε έναν ιστότοπο και να εκμεταλλευθεί την ευπάθεια. Αυτού του είδους οι επιθέσεις μπορούν να χρησιμοποιηθεί ακόμα και σε υπηρεσίες που εκτελούνται ως localhost, οι οποίες δεν είναι εκτεθειμένες σε δίκτυο και να ξεκινήσουν στο παρασκήνιο, όταν φορτώνεται μια ιστοσελίδα.

Στην επίθεση proof-of-concept, η Blumira διαπίστωσε ότι χρησιμοποιώντας ένα από τα πολλά Java Naming and Directory Interface (JNDI) exploits που θα μπορούσαν να ενεργοποιηθούν μέσω μιας διεύθυνσης URL χρησιμοποιώντας μια σύνδεση WebSocket σε μηχανήματα με εγκατεστημένη την ευάλωτη βιβλιοθήκη Log4j2. Το μόνο που χρειαζόταν για να ενεργοποιηθεί επιτυχώς το exploit, είναι ένα αίτημα διαδρομής αρχείου που μπορεί να γίνει κατά τη φόρτωση της ιστοσελίδας. Απλό, αλλά θανατηφόρο. Κάνοντας τα πράγματα χειρότερα, δεν χρειάζεται να είναι στο localhost. Τα WebSockets επιτρέπουν συνδέσεις σε οποιαδήποτε IP. 

Η Blumira προτείνει στους χρήστες "να ενημερώσουν όλα τα τρέχοντα projects, τις εσωτερικές εφαρμογές και τα περιβάλλοντα που αντιμετωπίζουν το Διαδίκτυο στο Log4j 2.16 το συντομότερο δυνατό, προτού οι επιτιθέμενοι να μπορέσουν να χρησιμοποιήσουν περαιτέρω αυτό το exploit", αναφέρει το ZDNet.

"Θα πρέπει επίσης να ελέγξετε προσεκτικά το τείχος προστασίας του δικτύου σας καθώς και τις θύρες δικτύου. Συγκεκριμένα, βεβαιωθείτε ότι μόνο ορισμένα μηχανήματα μπορούν να στείλουν κίνηση σε θύρες 53, 389, 636 και 1099. Όλες οι άλλες θύρες θα πρέπει να είναι αποκλεισμένες. " Η αναφορά συνεχίζει: "Τέλος, δεδομένου ότι οι εφαρμογές Log4j συχνά προσπαθούν να "καλέσουν στο σπίτι τους" (ET call home) κυρίως μέσω τυχαίων υψηλών θυρών, θα πρέπει να αποκλείσετε την πρόσβασή τους σε τέτοιες θύρες."

Εργαλεία ανοικτού κώδικα όπως το Log4J διατηρούν το διαδίκτυο σε λειτουργία. Το αποτέλεσμα είναι η εξουθένωση για τις ομάδες ανάπτυξης καθώς και κίνδυνοι για την εθνική ασφάλεια κρατών όταν κάτι πάει στραβά.

Αυτή τη στιγμή, ο Volkan Yazici εργάζεται 22 ώρες την ημέρα χωρίς να αμείβεται.

Ο Yazici είναι μέλος της ομάδας ανάπτυξης του Log4J, ενός εργαλείου ανοιχτού κώδικα που χρησιμοποιείται ευρέως για την καταγραφή της δραστηριότητας μέσα σε διάφορους τύπους λογισμικού. Βοηθά στη λειτουργία τεράστιων τμημάτων του διαδικτύου, συμπεριλαμβανομένων εφαρμογών που κυμαίνονται από το iCloud έως το Twitter, και ο ίδιος και οι συνάδελφοί του προσπαθούν τώρα απεγνωσμένα να αντιμετωπίσουν μια τεράστια ευπάθεια που έχει θέσει σε κίνδυνο δισεκατομμύρια διακομιστές.

Η ευπάθεια στο Log4J είναι εξαιρετικά εύκολο να αξιοποιηθεί. Αφού στείλουν μια κακόβουλη συμβολοσειρά χαρακτήρων σε ένα ευάλωτο μηχάνημα, οι χάκερ μπορούν να εκτελέσουν όποιον κώδικα θέλουν. Μερικές από τις πρώτες επιθέσεις ήταν παιδιά που επικόλλησαν τον κακόβουλο κώδικα σε διακομιστές Minecraft. Οι χάκερ, συμπεριλαμβανομένων ορισμένων που συνδέονται με την Κίνα και το Ιράν, επιδιώκουν τώρα να εκμεταλλευτούν την ευπάθεια σε οποιοδήποτε μηχάνημα μπορούν να βρουν που εκτελεί τον ελαττωματικό κώδικα.

Και δεν υπάρχει σαφές τέλος στον ορίζοντα. Το ζήτημα Log4J ισοδυναμεί με μια μακροπρόθεσμη κρίση ασφαλείας που αναμένεται να διαρκέσει μήνες ή και χρόνια. Η Jen Easterly, διευθύντρια της αμερικανικής Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών, δήλωσε ότι πρόκειται για "ένα από τα σοβαρότερα ελαττώματα" που έχει δει ποτέ.

Για κάτι τόσο σημαντικό, θα περίμενε κανείς ότι οι μεγαλύτερες εταιρείες τεχνολογίας και οι κυβερνήσεις του κόσμου θα είχαν αναθέσει σε εκατοντάδες υψηλά αμειβόμενους εμπειρογνώμονες να επιδιορθώσουν γρήγορα το ελάττωμα. 

Η αλήθεια είναι διαφορετική: Το Log4J, το οποίο αποτελεί εδώ και καιρό ένα κρίσιμο κομμάτι της βασικής υποδομής του διαδικτύου, ιδρύθηκε ως εθελοντικό έργο και εξακολουθεί να λειτουργεί σε μεγάλο βαθμό δωρεάν, παρόλο που πολλές εταιρείες εκατομμυρίων και δισεκατομμυρίων δολαρίων βασίζονται σε αυτό και επωφελούνται από αυτό κάθε μέρα. Ο Yazici και η ομάδα του προσπαθούν να το διορθώσουν σχεδόν δωρεάν.

Αυτή η περίεργη κατάσταση είναι ρουτίνα στον κόσμο του λογισμικού ανοικτού κώδικα, των προγραμμάτων που επιτρέπουν σε οποιονδήποτε να επιθεωρεί, να τροποποιεί και να χρησιμοποιεί τον κώδικά τους. Πρόκειται για μια ιδέα δεκαετιών που έχει γίνει κρίσιμη για τη λειτουργία του διαδικτύου. Όταν πηγαίνει σωστά, ο ανοικτός κώδικας είναι ένας θρίαμβος της συνεργασίας. Όταν όμως κάτι πηγαίνει στραβά, είναι ένας τεράστιος κίνδυνος.

"Ο ανοιχτός κώδικας διαχειρίζεται το διαδίκτυο και, κατ' επέκταση, την οικονομία", λέει ο Filippo Valsorda, ένας προγραμματιστής που εργάζεται σε έργα ανοιχτού κώδικα στην Google. Και όμως, εξηγεί, "είναι εξαιρετικά σύνηθες ακόμη και για έργα βασικής υποδομής να υπάρχει μια μικρή ομάδα συντηρητών ή ακόμη και ένας μόνο συντηρητής που δεν πληρώνεται για να εργάζεται στο συγκεκριμένο έργο".

Καμία αναγνώριση για τους προγραμματιστές

"Η ομάδα εργάζεται νυχθημερόν", είπε ο Yazici σε μήνυμα ηλεκτρονικού ταχυδρομείου. "Επιτέλους, η δική μου βάρδια, από τις 6 π.μ. έως τις 4 π.μ. (όχι, δεν υπάρχει τυπογραφικό λάθος στην ώρα) μόλις τελείωσε".

Εν μέσω των εξουθενωτικών ωρών εργασίας, ο Yazici βρήκε χρόνο να κουνήσει το δάχτυλο τους επικριτές, γράφοντας στο Twitter ότι "Οι συντηρητές του Log4j εργάζονται άγρυπνα για μέτρα μετριασμού: διορθώσεις, έγγραφα, CVE, απαντήσεις σε ερωτήματα κ.λπ. Ωστόσο, τίποτα δεν εμποδίζει τους ανθρώπους να μας κατακρίνουν, για δουλειά για την οποία δεν πληρωνόμαστε, και για ένα χαρακτηριστικό που η ύπαρξή του δεν αρέσει σε όλους μας, αλλά έπρεπε να διατηρήσουμε λόγω ανησυχιών για την προς τα πίσω συμβατότητα".

Πριν η ευπάθεια του Log4J κάνει αυτό το σκοτεινό αλλά πανταχού παρόν λογισμικό να γίνει πρωτοσέλιδο, ο επικεφαλής του έργου Ralph Goers είχε συνολικά τρεις μικρούς χορηγούς που υποστήριζαν το έργο του. Ο Goers, ο οποίος εργάζεται στο Log4J παράλληλα με μια δουλειά πλήρους απασχόλησης, είναι υπεύθυνος για τη διόρθωση του ελαττωματικού κώδικα και την κατάσβεση της πυρκαγιάς που προκαλεί ζημιές εκατομμυρίων δολαρίων. Είναι ένας τεράστιος φόρτος εργασίας για μια ενασχόληση ελεύθερου χρόνου.

Η υποχρηματοδότηση του λογισμικού ανοικτού κώδικα είναι "συστημικός κίνδυνος για τις Ηνωμένες Πολιτείες, για τις κρίσιμες υποδομές, για τις τράπεζες, για τα χρηματοοικονομικά", λέει ο Chris Wysopal, επικεφαλής τεχνολογίας στην εταιρεία ασφάλειας Veracode. "Το οικοσύστημα ανοικτού κώδικα είναι εκεί πάνω σε σημασία για τις κρίσιμες υποδομές μαζί με το Linux, τα Windows και τα θεμελιώδη πρωτόκολλα του διαδικτύου. Αυτοί είναι οι κορυφαίοι συστημικοί κίνδυνοι για το διαδίκτυο".

Πώς φτάσαμε σε αυτό το σημείο;

Η απάντηση έρχεται με τη μορφή μιας άλλης ερώτησης: Γιατί οι εταιρείες τεχνολογίας να πληρώσουν για κάτι που παίρνουν δωρεάν; Αλλά η τεράστια σημασία του λογισμικού ανοικτού κώδικα σημαίνει ότι το status quo θεωρείται όλο και περισσότερο αβάσιμο.

"Ο εθελοντισμός δεν είναι βιώσιμος για τις κρίσιμες υποδομές, επειδή οι εθελοντές έχουν το δικαίωμα να εργάζονται μόνο στα διασκεδαστικά ή ενδιαφέροντα μέρη της "δουλειάς"", λέει ο Valsorda. "Ένα έργο ανοιχτού κώδικα χρειάζεται επίσης προσεκτικούς τεχνικούς ελέγχους, μηχανισμούς ελέγχου εκδόσεων, διαχείριση προβλημάτων, αξιολογήσεις ασφαλείας, αναθεώρηση κώδικα των συνεισφορών - και ένας συντηρητής μπορεί να βρίσκει κάποιες ή καμία από αυτές τις πτυχές από μόνες τους παρακινητικές".

Καθώς η πίεση και οι επικριτές συσσωρεύονται στην ομάδα του Log4J, παλιά ερωτήματα περί δικαιοσύνης τίθενται σχετικά με τον κόσμο του ανοιχτού κώδικα. 

"Η δικαιοσύνη είναι ένα πρόβλημα", λέει ο Ceki Gülcü, ο οποίος ίδρυσε τη Log4 . "Υπάρχει αυτή η περίεργη ανισορροπία, όπου κερδίζεις από κάτι αλλά δεν δίνεις τίποτα πίσω".

Το κοινό αγνοεί επίσης σχεδόν πλήρως τον τεράστιο ρόλο -και τον κίνδυνο- του λογισμικού ανοικτού κώδικα που βασίζεται στην ελεύθερη εργασία και λειτουργεί στο διαδίκτυο. Το OpenSSL τροφοδοτεί την κρυπτογράφηση, για παράδειγμα, και το Linux βρίσκεται πίσω από τα πιο ευρέως χρησιμοποιούμενα λειτουργικά συστήματα στον πλανήτη, συμπεριλαμβανομένου του Android.

Ο Gülcü επισημαίνει τα προβλήματα πρόσληψης και διατήρησης προσωπικού σε έργα ανοικτού κώδικα. Δεν είναι εύκολο να προσελκύσεις και να διατηρήσεις ταλέντα ακόμη και σε μεγάλα έργα, όταν οι αμοιβές κυμαίνονται από ένα κλάσμα των αμοιβών που μπορεί να καταβάλει μια εταιρεία μέχρι το μηδέν. Και αυτό μπορεί να έχει αντίκτυπο στην εθνική ασφάλεια.

Το 2018, ο προγραμματιστής πίσω από ένα δημοφιλές έργο ανοικτού κώδικα που ονομάζεται ua-parser-js παραιτήθηκε, μη θέλοντας να εργαστεί πλέον δωρεάν. Το λογισμικό χρησιμοποιείται από μεγάλες εταιρείες τεχνολογίας, όπως η Google, η Amazon και το Facebook. Το άτομο που πήρε τον έλεγχο του ua-parser-js στη συνέχεια υπέκλεψε το λογισμικό και πρόσθεσε κακόβουλο κώδικα στο έργο για να κλέψει κρυπτονομίσματα. Το υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ εξέδωσε τελικά προειδοποίηση προς τους χρήστες για τον χάκερ. Παρά τις πολλές χιλιάδες προγραμματιστών που χρησιμοποιούσαν το λογισμικό, το εν λόγω έργο είχε συγκεντρώσει μόλις 41,61 δολάρια σε κεφάλαια (ναι, σαράντα ένα δολάρια και εξήντα ένα σεντς). Ο αρχικός προγραμματιστής, ο οποίος είχε παραδώσει ελεύθερα τον έλεγχο στον ανώνυμο διάδοχο, χαρακτήρισε την κατάσταση "τρελή".

Ωστόσο, η πραγματικότητα είναι πως κορυφαίοι προγραμματιστές λογισμικού αφιερώνουν πάντα χρόνια δωρεάν εργασίας και δεν παίρνουν τίποτα σε αντάλλαγμα. Ο Gülcü, για παράδειγμα, μετέτρεψε την δωρεάν εργασία του στο Log4J σε πολλαπλές προσοδοφόρες θέσεις εργασίας ανάπτυξης λογισμικού στον χρηματοπιστωτικό κλάδο.

Είναι στην πραγματικότητα αρκετά τυπικό για την εργασία ανοιχτού κώδικα να βοηθάει στη δημιουργία ενός χαρτοφυλακίου έργων που στη συνέχεια οδηγεί σε αμειβόμενες θέσεις εργασίας. Κατά κάποιο τρόπο ο θεσμός αυτός μοιάζει με την απλήρωτη πρακτική άσκηση σε άλλες βιομηχανίες - ένα σύστημα που θεωρείται όλο και περισσότερο ανήθικο, εκμεταλλευτικό και αδικαιολόγητα επωφελές για τους ανθρώπους που έχουν την πολυτέλεια να αναλαμβάνουν εργασία χωρίς αμοιβή εις βάρος εκείνων που δεν μπορούν. Με αυτόν τον τρόπο, η υποχρηματοδότηση της εργασίας ανοικτού κώδικα μπορεί να διαιωνίσει περισσότερα από απλώς κάποια, σοβαρά ή μη, τεχνικά ζητήματα.

Πώς μπορεί να διορθωθεί το status quo;

Τα προβλήματα αυτής της κατάστασης αρχίζουν επιτέλους να αναγνωρίζονται.

"Οι εταιρείες τεχνολογίας, οι επιχειρήσεις, οποιοσδήποτε γράφει λογισμικό εξαρτάται από τον ανοιχτό κώδικα", λέει ο Wysopal. "Τώρα υπάρχει αναγνώριση στα υψηλότερα επίπεδα της κυβέρνησης ότι αυτό αποτελεί μεγάλο κίνδυνο".

Ο Easterly και άλλοι εμπειρογνώμονες λένε ότι οι εταιρείες τεχνολογίας πρέπει να βελτιώσουν τη διαφάνεια. Η υιοθέτηση ενός νομοσχεδίου για το λογισμικό, όπως προβλέπεται από εκτελεστική εντολή του Προέδρου Joe Biden για την κυβερνοασφάλεια το 2021, θα βοηθούσε τόσο τους προγραμματιστές όσο και τους χρήστες να κατανοήσουν καλύτερα τι είναι πραγματικά ευάλωτο σε πειρατεία όταν ανακαλύπτονται σφάλματα λογισμικού.

Ο Valsorda, ο οποίος έχει καταφέρει να μετατρέψει το δικό του έργο ανοιχτού κώδικα σε μια καριέρα υψηλού προφίλ, λέει ότι η επισημοποίηση και ο επαγγελματισμός της σχέσης μεταξύ των προγραμματιστών και των μεγάλων εταιρειών που χρησιμοποιούν το έργο τους θα μπορούσε να βοηθήσει. Υποστηρίζει τη μετατροπή της εργασίας ανοικτού κώδικα από χόμπι σε επαγγελματική σταδιοδρομία, ώστε οι κρίσιμες υποδομές να μην εξαρτώνται από τον ελεύθερο χρόνο ενός προγραμματιστή που έχει ήδη μια δουλειά πλήρους απασχόλησης. Και υποστηρίζει ότι οι εταιρείες θα πρέπει να αναπτύξουν συστήματα για να αποδίδουν στους ανθρώπους που συντηρούν έργα ανοικτού κώδικα τη δίκαιη αγοραία αξία τους.

Ορισμένες εταιρείες έχουν ήδη αναγνωρίσει την ανάγκη αυτή. Η Google δεσμεύτηκε πρόσφατα να διαθέσει 100 εκατομμύρια δολάρια για την υποστήριξη της ανάπτυξης ανοικτού κώδικα και την αποκατάσταση ευπαθειών.

Ο Wysopal λέει ότι πρέπει να γίνουν περισσότερα για να βελτιώσουμε την βιωσιμότητα των έργων ανοικτού κώδικα - η τελευταία ενημέρωση έγινε πριν από μια εβδομάδα ή πριν από δύο χρόνια; - και στη συνέχεια να υποστηρίξουμε συστηματικά τα καλά έργα και παράλληλα να εξαλείψουμε αυτά που δεν μπορούν να διασφαλιστούν ως προς την ασφάλεια και την βιωσιμότητά τους. Ένα άλλο έργο της Google, το Open Source Technology Improvement Fund, στοχεύει στον έλεγχο και τη βελτίωση κρίσιμων έργων ανοικτού κώδικα.

Οι επιπτώσεις από τις ευπάθειες του Log4J είναι ένα τέλειο παράδειγμα ενός ευρύτερου προβλήματος, ωστόσο. Τα ελαττώματα βρίσκονται στον σχεδιασμό του λογισμικού και, επομένως, για να βρεθούν, απαιτείται κάποιος που κατανοεί πραγματικά τον σχεδιασμό. Τα τρέχοντα μοντέλα "bug bounty", τα οποία πληρώνουν τρίτους για να ελέγξουν αυτοί το λογισμικό και να βρουν ελαττώματα, δεν βοηθούν αρκετά εδώ, καθώς οι ξένοι προς το έργο προγραμματιστές απλά δεν έχουν το οικονομικό κίνητρο να αναπτύξουν αυτού του είδους τη βαθιά κατανόηση.

"Πρόκειται για την απόλυτη αποτυχία της αγοράς", λέει ο Wysopal. "Παίρνουμε το καλό μέρος του κοινόχρηστου κώδικα και βάζουμε κάποιον άλλον να αναλάβει την ευθύνη για το κακό μέρος. Πρέπει να υπάρξει μεγαλύτερη χρηματοδότηση για την συντήρηση των έργων ανοικτού κώδικα".

Η στρατιωτική διοίκηση των ΗΠΑ στον Ειρηνικό έχει δημιουργήσει ένα πρόγραμμα για να προβλέψει πώς θα αντιδράσει η κινεζική κυβέρνηση σε στρατιωτικές ενέργειες των ΗΠΑ στην περιοχή. Οι ενέργειες αυτές περιλαμβάνουν πωλήσεις στρατιωτικού υλικού, στρατιωτική δραστηριότητα που υποστηρίζεται από τις ΗΠΑ και ακόμη και επισκέψεις μελών του Κογκρέσου σε κρίσιμες περιοχές όπως η Ταιβάν. 
Η αναπληρώτρια υπουργός Άμυνας Κάθλιν Χικς ενημερώθηκε για το νέο εργαλείο κατά τη διάρκεια επίσκεψης στη Διοίκηση Ινδο-Ειρηνικού των Ηνωμένων Πολιτειών στη Χαβάη την Τρίτη. "Με το φάσμα της σύγκρουσης και τα σύνολα προκλήσεων να εκτείνονται σε γκρίζα ζώνη. Αυτό που βλέπετε είναι η ανάγκη να εξετάσουμε ένα πολύ ευρύτερο σύνολο δεικτών, να τα συνδυάσουμε και μετά να κατανοήσουμε την αλληλεπίδραση των απειλών", είπε η Χικς σε μια συνέντευξη σε στρατιωτικό αεροσκάφος καθ' οδόν προς την Καλιφόρνια.

Το εργαλείο υπολογίζει τη «στρατηγική τριβή», δήλωσε αξιωματούχος της άμυνας. Εξετάζει δεδομένα από τις αρχές του 2020 και αξιολογεί σημαντικές δραστηριότητες που είχαν επηρεάσει τις σχέσεις ΗΠΑ-Κίνας. Το σύστημα, θα βοηθήσει το Πεντάγωνο να προβλέψει εάν ορισμένες ενέργειες θα προκαλέσουν μια μεγάλη κινεζική αντίδραση. Τον Οκτώβριο, ο κινεζικός στρατός καταδίκασε τις Ηνωμένες Πολιτείες και τον Καναδά για αποστολή πολεμικών πλοίων μέσω του στενού της Ταιβάν, λέγοντας ότι απειλούσαν την ειρήνη και τη σταθερότητα στην περιοχή. Το περιστατικό και άλλα παρόμοια έχουν τροφοδοτήσει τη ζήτηση για το εργαλείο, για να διασφαλίσουν ότι οι Ηνωμένες Πολιτείες ότι δεν θα αναστατώσουν ακούσια την Κίνα με τις ενέργειές τους.