image

"Commerciële bedrijven maken opensource bewust zwart"

donderdag 21 augustus 2008, 15:15 door Redactie, 15 reacties

Commerciële bedrijven spenderen miljoenen euro's om klanten voor te liegen en bang te maken over de veiligheid van opensource software, om zo hun eigen inkomsten veilig te stellen, dat stelt Emma McGrattan van de Eclipse Foundation, een opensource organisatie. Opensource zou namelijk een geschikte manier zijn om kosten te besparen, wat tegen het zere been van de grote IT-ondernemingen van deze wereld is. Die zetten de software daarom bewust in een kwaad daglicht.

McGrattan pakt vijf vaak gehoorde leugens over opensource aan. De eerste is dat het beschikbaar stellen van de broncode opensource kwetsbaar maakt. "In werkelijkheid worden de meeste lekken gevonden via reverse engineering dan het doorlopen van de code." Daarnaast zijn het juiste commerciële producten die het vaakst gehackt worden, wat meteen ook laat zien dat 'security through obscurity' niet werkt.

Het tweede punt is dat opensource ongereguleerd is en daardoor iedereen de code kan compromitteren. De werkelijkheid is dat de broncode streng beschermd en getest wordt voordat men die aan het project toevoegt. Opensource ontwikkelaars moeten krediet opbouwen voordat ze code mogen toevoegen.

De derde mythe die McGrattan ontzenuwt is dat opensource geen 'best practices' voor het melden en oplossen van beveiligingslekken zou volgen. "Deze mythe houdt veel bedrijven af van opensource." Er is echter een verschil tussen de gemeenschap die open source projecten ondersteunt en de ondersteuning die klanten van professionele opensource providers kopen. Die zouden "enterprise grade" ondersteuning bieden en alle standaard practices voor het melden en oplossen van beveiligingsproblemen volgen.

Onvolwassen

Als vierde zou opensource niet over de beveiligingsmaatregelen beschikken die bedrijven vereisen. Inmiddels zijn opensource projecten zo volwassen dat ze voor zelfs de meest gevoelige omgevingen geschikt zijn, wat blijkt uit het feit dat opensource wordt ingezet voor het beschermen van de nationale veiligheid.

De laatste mythe die McGrattan naar voren haalt is dat opensource een apart securitybeleid en procedures vereist, wat voor een toename van kosten en complexiteit zorgt. "Tegenstanders van opensource laten je geloven dat de kostenbesparingen van opensource ongedaan worden gemaakt door het feit dat men nieuw beleid en procedures moet opstellen voordat men tot uitrol in de onderneming over kan gaan. In werkelijkheid kan men dezelfde principes gebruiken voor het beveiligen van de onderneming, of het nu om open of gesloten software gaat."

McGrattan waarschuwt na haar pleidooi nogmaals voor de grote ondernemingen van deze wereld die het bedrijfsleven proberen te manipuleren. "Opensource is een dreiging voor de winst van elke gesloten softwareaanbieder over de hele wereld."

Reacties (15)
21-08-2008, 16:37 door Anoniem
In werkelijkheid worden de meeste lekken gevonden via reverse
engineering dan het doorlopen van de code.

Dat klopt niet denk ik. Verreweg de makkelijkste manier is fuzzen. Reverse
engineren kost veel meer moeite. Lezen van source code is een stuk
makkelijker om zwakke plekken te vinden. Daarna moet je alsnog input
maken en debuggen.
21-08-2008, 16:51 door Eerde
Is dit nieuws ?
21-08-2008, 18:09 door Anoniem
Ook de bloatware-gigant ui]]. Redmond houdt zich hier nog
steeds actief mee bezig. Een zinnetje uit een case-studie:
VM needed a solution that would enable it to expand its
offering across the region without compromise on security
and performance. However, it was limited by its linux
infrastructure running their PHP applications

(http://www.microsoft.com/windowsserver/compare/CaseStudyDetails.mspx?recid=202).

Vrij vertaald: Het bedrijf wilde niet inleveren op
performance en veiligheid, maar werd helaas beperkt door hun
linux-infrastructuur
.
Microsoft heeft in elk geval meer gevoel voor humor dan voor
feiten.
Achja, ook hier op de site zien we figuren die het niet van
de feitenkennis moeten hebben, maar van hun grote bek.
21-08-2008, 18:45 door spatieman
nee, maar wel interesant om WEER eens de bevestiging te
krijgen dat grote security jongens die alleen geld willen
verdienen er alles aan doen om iedereen bang te maken
21-08-2008, 19:02 door Apacheman
Door Anoniem
In werkelijkheid worden de meeste lekken gevonden via
reverse
engineering dan het doorlopen van de code.

Dat klopt niet denk ik. Verreweg de makkelijkste manier is
fuzzen. Reverse
engineren kost veel meer moeite. Lezen van source code is
een stuk
makkelijker om zwakke plekken te vinden. Daarna moet je
alsnog input
maken en debuggen.

Het is een combinatie van, soms kan het lezen van de
broncode je behoorlijk wat tijd besparen (of bevestigen) dat
je een zwakke plek hebt gevonden. Andersom is het ook zo
dat je via de broncode een zwakheid denkt gevonden te hebben
en je reverse enginering moet toepassen om erachter te komen
of dit werkelijk zo is! Kortom 'security through obscurity'
werkt echt NIET.
21-08-2008, 19:44 door Nomen Nescio
Wij van wc-eend...Dat geldt hier dus ook, want in de praktijk kom je wel andere
situaties tegen. Als open source echt zo goed zou zijn, zou men massaal
daarop overgaan, wat anderen ook beweren.

Wat ik echter mis is hoe die mensen dan hun geld verdienen. Ergens moet
dat toch vandaan komen. Wie denkt dat open source helemaal echt gratis is,
is wel heel simpel. Die mensen moeten ook bestaan, dus waar komt hun
inkomen dan vandaan?
21-08-2008, 19:55 door Gutsy Gibbon
Door Nomen Nescio
Wat ik echter mis is hoe die mensen dan hun geld verdienen.
Ergens moet
dat toch vandaan komen. Wie denkt dat open source helemaal
echt gratis is,
is wel heel simpel. Die mensen moeten ook bestaan, dus waar
komt hun
inkomen dan vandaan?


Commerciële bedrijven spenderen miljoenen euro's om klanten
voor te liegen en bang te maken over de veiligheid van
opensource software, om zo hun eigen inkomsten veilig te
stellen

Lijkt me toch duidelijk he?
21-08-2008, 21:11 door Anoniem
Als open source echt zo goed zou zijn, zou men
massaal daarop overgaan, wat anderen ook beweren.
In de Dromen van Nomen is het populairste product ook het
beste product. In de echte wereld heb je nog andere factoren
die de verspreidingsgraad bepalen. Zoals marketing,
prijsafspraken en koppelverkoop. Ooit van gehoord?
Weleens gehoord van 7-zip, Apache, OpenSSL, Snort, VLC Media
Player?
Is het je ontgaan dat Firefox een flink deel van de
browser-taart heeft afgesnoept terwijl IE toch het
populairste werd doordat Micro$oft het door miljoenen
strotten heeft gestampt door het diep in Windows te prutsen?
Met alle veiligheidsgevolgen vandien trouwens.
Waarom rijdt niet iedereen in de beste auto?
Waardoor ging men massaal over op VHS terwijl er technisch
betere videosystemen bestaan?
Waarom gebruikt men massaal Windows terwijl malware en
update-ellende toch steeds opnieuw bewijzen dat dit product
technisch inferieur is aan vrijwel alle andere
besturingssystemen (waarover vooraf wèl goed nagedacht werd)?
Waarom denk je dat vooral linux populair is als embedded OS?
Hoevaak wordt jouw favoriete Windows gebruikt voor echt
grote computer-clusters en mainframes?
Waarom denk je dat er met open source geen geld te verdienen
is? Linux-computers installeren en onderhouden zichzelf
helaas niet.
Vraag het desnoods eens aan IBM, die schijnen er iets van te
weten.
Jammer Nomen, een van de weinige keren dat je redelijk
zinnig reageert, zijn je opmerkingen 1-2-3 onderuit te trappen.
Je zou er m.i. goed aan doen wat minder te blaten en wat
meer proberen te begrijpen wat anderen hier zeggen. Wie
weet, leer je er iets van en kan je later ook eens iets
nuttigs toevoegen. Misschien schrijf je nog wel een keer een
echte heuse column! Ik weet al een leuke titel: Holle vaten ...

Wie denkt dat open source helemaal echt gratis is, is
wel heel simpel.
Zulke eenvoudige mensen houden zich doorgaans niet met open
source bezig.
21-08-2008, 23:54 door [Account Verwijderd]
[Verwijderd]
22-08-2008, 09:07 door U4iA
Door spatieman
nee, maar wel interesant om WEER eens de bevestiging te
krijgen dat grote security jongens die alleen geld willen
verdienen er alles aan doen om iedereen bang te maken
Ben het gedeeltelijk met je eens, maar dit stuk is
geschreven door Emma McGrattan. Zij zit in het raad van
bestuurd van de Eclipse Foundation, wiens taak het is ook
oa. Open Source te promoten bij bedrijven. Daarnaast staan
er dingen in die iedere IT-er al lang weet. Dit stuk is
gewoon een WC-Eend stuk, net als die grote boze commerciele
bedrijven doen...
22-08-2008, 15:46 door Anoniem
Het gehalte WC-Eend is inderdaad hoog.

Overigens is het niet zo dat OSS coders heiligen zijn, zoals
Emma McGrattan min of meer wenst te beweren:

Het tweede punt is dat opensource ongereguleerd is en
daardoor iedereen de code kan compromitteren. De
werkelijkheid is dat de broncode streng beschermd en getest
wordt voordat men die aan het project toevoegt. Opensource
ontwikkelaars moeten krediet opbouwen voordat ze code mogen
toevoegen.

Als dit waar is moet iemand me toch eens uitleggen hoe dat
nou ook weer zat met dat random number probleem van Debian:

http://www.security.nl/article/18717/1

Ongereguleerd werken kan wel degelijk een zwak punt zijn -
het zou de community sieren als daar eens serieus naar werd
gekeken in plaats van altijd maar weer "wij is beters" roepen.
22-08-2008, 17:29 door Anoniem
" What else is new " Ging er door mijn hoofd toen ik de kop
van het artikel zag staan. Achteraf, denk ik " No shit!
Sherlock! "
22-08-2008, 19:47 door Rene V
Door Anoniem

Je zou er m.i. goed aan doen wat minder te blaten en wat
meer proberen te begrijpen wat anderen hier zeggen.

lol... ik ben dus niet de enige die Nescio een blatend
schaap vind die nodig een cursus begrijpend lezen dient te gaan volgen. :P
23-08-2008, 12:17 door Anoniem
Overigens is het niet zo dat OSS coders heiligen
zijn, zoals Emma McGrattan min of meer wenst te beweren:
Domme opmerking. Emma beweert nergens dat oss-programmeurs
heiligen zijn. Ik lees dat persoonlijk ook niet tussen de
regels door.

Als dit waar is moet iemand me toch eens uitleggen
hoe dat nou ook weer zat met dat random number probleem van
Debian:
Domme opmerking.
Ook Windows en Oracle bevatten fouten. Dus wordt er bij die
bedrijven ongereguleerd en slecht gewerkt.

Ongereguleerd werken kan wel degelijk een zwak punt
zijn - het zou de community sieren als daar eens serieus
naar werd gekeken in plaats van altijd maar weer "wij is
beters" roepen.
Domme opmerking. Vertel eens welke communities ongereguleerd
werken? Die van Apache? Samba? RedHat? Debian?

Gewoonlijk maakt alleen de zwakzinnige Nomen Nescio dit
soort opmerkingen. Ben je toevallig familie?
25-08-2008, 14:02 door Eerde
@Donderdag, 21:11 door Anoniem
Hear, hear !

Als dit waar is moet iemand me toch eens uitleggen
hoe dat nou ook weer zat met dat random number probleem van
Debian:
Waarom zou het een het ander moeten uitsluiten ?
Dat de code niet zomaar van iedere boef wordt geaccepteerd wil nog niet zeggen, dat het daarna voor eeuwig en altijd 100% veilig moet blijken te zijn.

Maar goed ik ben en voel me een stuk veiliger met open source software.
Wellicht aardig om te weten dat dat de hoofdreden is van het Amerikaanse MoD om open source te gebruiken. Het kunnen inzien van de code en het naar eigen behoefte aanpassen ervan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.