De miljonair achter de populaire Linuxdistro zegt in zijn blog dat we in een tijd leven dat elke firmware een beveiligingsrisico vormt en vergelijkt het met een Trojaans paard van monumentale omvang. Hij wijst naar de NSA en naar andere overheidsdiensten die veelvuldig gebruik maken van backdoors in firmware.

"Firmware is een beerput van beveiligingsproblemen als gevolg van extreem onbekwame fabrikanten en juist zeer bekwame veiligheidsdiensten", hekelt Shuttleworth.

Firmware alleen doorgeefluik

Shuttleworth ijvert ervoor om functionaliteit van firmware in de kernel van een besturingssysteem in de bouwen. Hij neemt, voorspelbaar genoeg Linux als voorbeeld. Hardware-firmware moet volgens Shuttleworth niet méér zijn dan een doorgeefluik en niet zelf ook nog eens allemaal (onveilige) code gaan uitvoeren.

Firmware-updates zijn dan niet meer nodig, omdat fabrikanten hun verbeteringen in de Linux-kernel kunnen stoppen, beweert hij. Logischerwijs moet deze code dan wel open-source zijn omdat Shuttleworth in zijn blog zogenaamde binary blobs uitsluit. Hij pleit hierdoor indirect voor het open-source maken van het kernel-deel van firmware.

Security through obscurity...

De voorman van Canonical rakelt hiermee weer een oeroud discussiepunt op tussen aanhangers van gesloten, propriëtaire soft- en firmware en die van open-source. Het bekende adagium van bepleiters van open-source is die van security through obscurity is no security at all. Niet-vrij toegankelijke broncode kan niet worden gecontroleerd op beveiligingsrisico's en kan dus nooit het stempel veilig krijgen.

Mark Shuttleworth:
I've been to Troy, there is not much left.