Het in oktober opgedoken Duqu gebruikt net zoals zijn 'neef' Stuxnet en ook de nieuw ontdekte superspyware Flame een uiteenlopende reeks componenten voor zijn malafide werk. Daaronder bevinden zich ook diverse stukken open source-software. Een medewerker van het Hongaarse securitylab CrySyS, dat Flame diepgaand analyseert, heeft de licenties van de gebruikte open source-code eens doorgenomen.

Ludieke oproep aan Duqu-makers

Hij concludeert in een blogpost dat Duqu de open source-licentie GPL schendt. Die bekende en veelgebruikte licentie legt namelijk de verplichting op dat software waarin GPL-code is verwerkt zelf ook weer als open source ter beschikking wordt gesteld. Dat is niet bepaald het geval. De CrySyS-onderzoeker doet dan ook een niet serieus bedoelde oproep aan de makers van deze supermalware om hun broncode over te dragen.

Duqu schendt specifiek de GPL door het gebruik van compressie-algoritme LZO. Het recent ontdekte Flame gebruikt onder meer Telnet- en SSH-client putty die valt onder de MIT-licentie, datacompressor Libbz2 dat valt onder een BSD-licentie, en programmeertaal Lua dat onder de MIT-licentie valt. Sommige van die open source-licenties staan wel gebruik van code toe zonder verplichting van codedeling.