"Commerciële bedrijven maken opensource bewust zwart"
Commerciële bedrijven spenderen miljoenen euro's om klanten voor te liegen en bang te maken over de veiligheid van opensource software, om zo hun eigen inkomsten veilig te stellen, dat stelt Emma McGrattan van de Eclipse Foundation, een opensource organisatie. Opensource zou namelijk een geschikte manier zijn om kosten te besparen, wat tegen het zere been van de grote IT-ondernemingen van deze wereld is. Die zetten de software daarom bewust in een kwaad daglicht.
McGrattan pakt vijf vaak gehoorde leugens over opensource aan. De eerste is dat het beschikbaar stellen van de broncode opensource kwetsbaar maakt. "In werkelijkheid worden de meeste lekken gevonden via reverse engineering dan het doorlopen van de code." Daarnaast zijn het juiste commerciële producten die het vaakst gehackt worden, wat meteen ook laat zien dat 'security through obscurity' niet werkt.
Het tweede punt is dat opensource ongereguleerd is en daardoor iedereen de code kan compromitteren. De werkelijkheid is dat de broncode streng beschermd en getest wordt voordat men die aan het project toevoegt. Opensource ontwikkelaars moeten krediet opbouwen voordat ze code mogen toevoegen.
De derde mythe die McGrattan ontzenuwt is dat opensource geen 'best practices' voor het melden en oplossen van beveiligingslekken zou volgen. "Deze mythe houdt veel bedrijven af van opensource." Er is echter een verschil tussen de gemeenschap die open source projecten ondersteunt en de ondersteuning die klanten van professionele opensource providers kopen. Die zouden "enterprise grade" ondersteuning bieden en alle standaard practices voor het melden en oplossen van beveiligingsproblemen volgen.
Onvolwassen
Als vierde zou opensource niet over de beveiligingsmaatregelen beschikken die bedrijven vereisen. Inmiddels zijn opensource projecten zo volwassen dat ze voor zelfs de meest gevoelige omgevingen geschikt zijn, wat blijkt uit het feit dat opensource wordt ingezet voor het beschermen van de nationale veiligheid.
De laatste mythe die McGrattan naar voren haalt is dat opensource een apart securitybeleid en procedures vereist, wat voor een toename van kosten en complexiteit zorgt. "Tegenstanders van opensource laten je geloven dat de kostenbesparingen van opensource ongedaan worden gemaakt door het feit dat men nieuw beleid en procedures moet opstellen voordat men tot uitrol in de onderneming over kan gaan. In werkelijkheid kan men dezelfde principes gebruiken voor het beveiligen van de onderneming, of het nu om open of gesloten software gaat."
McGrattan waarschuwt na haar pleidooi nogmaals voor de grote ondernemingen van deze wereld die het bedrijfsleven proberen te manipuleren. "Opensource is een dreiging voor de winst van elke gesloten softwareaanbieder over de hele wereld."
engineering dan het doorlopen van de code.
Dat klopt niet denk ik. Verreweg de makkelijkste manier is fuzzen. Reverse
engineren kost veel meer moeite. Lezen van source code is een stuk
makkelijker om zwakke plekken te vinden. Daarna moet je alsnog input
maken en debuggen.
steeds actief mee bezig. Een zinnetje uit een case-studie:
VM needed a solution that would enable it to expand its
offering across the region without compromise on security
and performance. However, it was limited by its linux
infrastructure running their PHP applications
(http://www.microsoft.com/windowsserver/compare/CaseStudyDetails.mspx?recid=202).
Vrij vertaald: Het bedrijf wilde niet inleveren op
performance en veiligheid, maar werd helaas beperkt door hun
linux-infrastructuur.
Microsoft heeft in elk geval meer gevoel voor humor dan voor
feiten.
Achja, ook hier op de site zien we figuren die het niet van
de feitenkennis moeten hebben, maar van hun grote bek.
krijgen dat grote security jongens die alleen geld willen
verdienen er alles aan doen om iedereen bang te maken
reverse
engineering dan het doorlopen van de code.
Dat klopt niet denk ik. Verreweg de makkelijkste manier is
fuzzen. Reverse
engineren kost veel meer moeite. Lezen van source code is
een stuk
makkelijker om zwakke plekken te vinden. Daarna moet je
alsnog input
maken en debuggen.
Het is een combinatie van, soms kan het lezen van de
broncode je behoorlijk wat tijd besparen (of bevestigen) dat
je een zwakke plek hebt gevonden. Andersom is het ook zo
dat je via de broncode een zwakheid denkt gevonden te hebben
en je reverse enginering moet toepassen om erachter te komen
of dit werkelijk zo is! Kortom 'security through obscurity'
werkt echt NIET.
situaties tegen. Als open source echt zo goed zou zijn, zou men massaal
daarop overgaan, wat anderen ook beweren.
Wat ik echter mis is hoe die mensen dan hun geld verdienen. Ergens moet
dat toch vandaan komen. Wie denkt dat open source helemaal echt gratis is,
is wel heel simpel. Die mensen moeten ook bestaan, dus waar komt hun
inkomen dan vandaan?
Wat ik echter mis is hoe die mensen dan hun geld verdienen.
Ergens moet
dat toch vandaan komen. Wie denkt dat open source helemaal
echt gratis is,
is wel heel simpel. Die mensen moeten ook bestaan, dus waar
komt hun
inkomen dan vandaan?
Commerciële bedrijven spenderen miljoenen euro's om klanten
voor te liegen en bang te maken over de veiligheid van
opensource software, om zo hun eigen inkomsten veilig te
stellen
Lijkt me toch duidelijk he?
massaal daarop overgaan, wat anderen ook beweren.
beste product. In de echte wereld heb je nog andere factoren
die de verspreidingsgraad bepalen. Zoals marketing,
prijsafspraken en koppelverkoop. Ooit van gehoord?
Weleens gehoord van 7-zip, Apache, OpenSSL, Snort, VLC Media
Player?
Is het je ontgaan dat Firefox een flink deel van de
browser-taart heeft afgesnoept terwijl IE toch het
populairste werd doordat Micro$oft het door miljoenen
strotten heeft gestampt door het diep in Windows te prutsen?
Met alle veiligheidsgevolgen vandien trouwens.
Waarom rijdt niet iedereen in de beste auto?
Waardoor ging men massaal over op VHS terwijl er technisch
betere videosystemen bestaan?
Waarom gebruikt men massaal Windows terwijl malware en
update-ellende toch steeds opnieuw bewijzen dat dit product
technisch inferieur is aan vrijwel alle andere
besturingssystemen (waarover vooraf wèl goed nagedacht werd)?
Waarom denk je dat vooral linux populair is als embedded OS?
Hoevaak wordt jouw favoriete Windows gebruikt voor echt
grote computer-clusters en mainframes?
Waarom denk je dat er met open source geen geld te verdienen
is? Linux-computers installeren en onderhouden zichzelf
helaas niet.
Vraag het desnoods eens aan IBM, die schijnen er iets van te
weten.
Jammer Nomen, een van de weinige keren dat je redelijk
zinnig reageert, zijn je opmerkingen 1-2-3 onderuit te trappen.
Je zou er m.i. goed aan doen wat minder te blaten en wat
meer proberen te begrijpen wat anderen hier zeggen. Wie
weet, leer je er iets van en kan je later ook eens iets
nuttigs toevoegen. Misschien schrijf je nog wel een keer een
echte heuse column! Ik weet al een leuke titel: Holle vaten ...
wel heel simpel.
source bezig.
nee, maar wel interesant om WEER eens de bevestiging te
krijgen dat grote security jongens die alleen geld willen
verdienen er alles aan doen om iedereen bang te maken
geschreven door Emma McGrattan. Zij zit in het raad van
bestuurd van de Eclipse Foundation, wiens taak het is ook
oa. Open Source te promoten bij bedrijven. Daarnaast staan
er dingen in die iedere IT-er al lang weet. Dit stuk is
gewoon een WC-Eend stuk, net als die grote boze commerciele
bedrijven doen...
Overigens is het niet zo dat OSS coders heiligen zijn, zoals
Emma McGrattan min of meer wenst te beweren:
daardoor iedereen de code kan compromitteren. De
werkelijkheid is dat de broncode streng beschermd en getest
wordt voordat men die aan het project toevoegt. Opensource
ontwikkelaars moeten krediet opbouwen voordat ze code mogen
toevoegen.
Als dit waar is moet iemand me toch eens uitleggen hoe dat
nou ook weer zat met dat random number probleem van Debian:
http://www.security.nl/article/18717/1
Ongereguleerd werken kan wel degelijk een zwak punt zijn -
het zou de community sieren als daar eens serieus naar werd
gekeken in plaats van altijd maar weer "wij is beters" roepen.
van het artikel zag staan. Achteraf, denk ik " No shit!
Sherlock! "
Je zou er m.i. goed aan doen wat minder te blaten en wat
meer proberen te begrijpen wat anderen hier zeggen.
lol... ik ben dus niet de enige die Nescio een blatend
schaap vind die nodig een cursus begrijpend lezen dient te gaan volgen. :P
zijn, zoals Emma McGrattan min of meer wenst te beweren:
heiligen zijn. Ik lees dat persoonlijk ook niet tussen de
regels door.
hoe dat nou ook weer zat met dat random number probleem van
Debian:
Ook Windows en Oracle bevatten fouten. Dus wordt er bij die
bedrijven ongereguleerd en slecht gewerkt.
zijn - het zou de community sieren als daar eens serieus
naar werd gekeken in plaats van altijd maar weer "wij is
beters" roepen.
werken? Die van Apache? Samba? RedHat? Debian?
Gewoonlijk maakt alleen de zwakzinnige Nomen Nescio dit
soort opmerkingen. Ben je toevallig familie?
Hear, hear !
hoe dat nou ook weer zat met dat random number probleem van
Debian:
Dat de code niet zomaar van iedere boef wordt geaccepteerd wil nog niet zeggen, dat het daarna voor eeuwig en altijd 100% veilig moet blijken te zijn.
Maar goed ik ben en voel me een stuk veiliger met open source software.
Wellicht aardig om te weten dat dat de hoofdreden is van het Amerikaanse MoD om open source te gebruiken. Het kunnen inzien van de code en het naar eigen behoefte aanpassen ervan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
