"Opensource is onveilig en recept voor problemen"
Opensource is onveilig doordat hackers naar de code kunnen kijken en bedrijven die het gebruiken zullen met alleen maar meer problemen te maken krijgen, zegt Jon Shalowitz, algemeen manager van Skye, een divisie van het Amerikaanse Nominum. Shalowitz noemt opensource DNS oplossingen "het vieze geheimpje van het internet". Het bedrijf biedt zelf een commerciële oplossing en doet z'n best om gebruikers van freeware tot betalen over te halen. "Freeware is een recept voor problemen, en het wordt alleen maar erger."
Daarbij wijst de manager naar enkele beveiligingslekken die in de gratis Berkeley Internet Name Domain (BIND) software werden gevonden. De populairste DNS software op het internet. Zelf zegt het bedrijf dat het de afgelopen maanden met geen enkele kwetsbaarheid te maken heeft gehad, maar dat blijkt niet waar te zijn.
Inherent veiliger
"Freeware is niet hetzelfde als malware, maar het stelt gebruikers bloot aan problemen. Daarom zien we de grootste internetproviders weg van freeware migreren naar een oplossing die commercieel en veilig is." Met freeware bedoelt Shalowitz opensource. "Als iets opensource is, kan iedereen er naar kijken. Ik kan daarin geen geheimen bewaren. Maar als ik commerciele software heb, dan is dat afgesloten en niet zichtbaar voor de hacker." Ook al zijn er leveranciers die opensource iets aanpassen, kunnen ze nooit elk onderdeel beveiligen, zo gaat de manager verder. "Wij hebben onze software vanaf de grond opgebouwd, en doordat niet iedereen onze code kan bekijken, is het inherent veiliger."
Boefjes
Bert Hubert van concurrent PowerDNS was onprettig door de "advertorial" op ZDnet verrast. "In een ver, ver verleden toen werknemers van Nominum succesvol een Denial of Service aanval op PowerDNS uitvoerden, dacht ik dat ze over dit soort gedrag heen waren gegroeid. Maar dat lijkt niet het geval."
Reacties (34)
23-09-2009, 16:18 door
meinonA
Jammer dat er aan zoveel FUD aandacht besteed wordt...
Iemand die z'n terminologie al niet op orde heeft moet niet in staat zijn zulke uitspraken in de media te doen.
"Security throught obscurity" is ook een enorm achterhaald principe.
Wederom: belachelijk dat Security.nl dit publiceert.
"Freeware is niet hetzelfde als malware, maar het stelt gebruikers bloot aan problemen. Daarom zien we de grootste internetproviders weg van freeware migreren naar een oplossing die commercieel en veilig is."
Iemand die z'n terminologie al niet op orde heeft moet niet in staat zijn zulke uitspraken in de media te doen.
"Security throught obscurity" is ook een enorm achterhaald principe.
Wederom: belachelijk dat Security.nl dit publiceert.
"Als iets opensource is, kan iedereen er naar kijken. Ik kan daarin geen geheimen bewaren. Maar als ik commerciele software heb, dan is dat afgesloten en niet zichtbaar voor de hacker."
Wat een bullshit, heeft de vent nog nooit van reverse engineering gehoord? Het duurt misschien wat langer voordat een exploit gevonden word. En op het moment dat dat gebeurd gaat het goed mis, want omdat niemand behalve het bedrijf de broncode heeft ben je afhankelijk totdat zij een oplossing bieden. Met open source kan iedereen (die er verstand van heeft) naar de code kijken en een patch maken.
R-
Wat een bullshit, heeft de vent nog nooit van reverse engineering gehoord? Het duurt misschien wat langer voordat een exploit gevonden word. En op het moment dat dat gebeurd gaat het goed mis, want omdat niemand behalve het bedrijf de broncode heeft ben je afhankelijk totdat zij een oplossing bieden. Met open source kan iedereen (die er verstand van heeft) naar de code kijken en een patch maken.
R-
Ik zou hierover maar een ding willen zeggen:
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
23-09-2009, 16:53 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Ik zou hierover maar een ding willen zeggen:
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
Nee, nee. Kritiek op open source is niet toegestaan volgens jou dus."Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
@meinonA: snap jij niet dat dit artikel ironisch bedoeld was, of snap ik niet dat jouw reactie dat was?
23-09-2009, 17:06 door
prikkebeen
Heeft die man nog nooit van Microsoft gehoord? Of bijvoorbeeld Adobe?
Open Scource hoeft niet per definitie gratis te zijn en al helemaal niet onveilig. De meest gebruikte server software is ook open Source en het internet vaart er wel bij. Zo zijn er zat van voorbeelden natuurlijk.
Maar ja, het is ook maar een manager, die weet niet beter.
Ik weet nu in ieder geval wel dat ik niet bij deze kwast moet zijn als ik geld uit wil geven.
Open Scource hoeft niet per definitie gratis te zijn en al helemaal niet onveilig. De meest gebruikte server software is ook open Source en het internet vaart er wel bij. Zo zijn er zat van voorbeelden natuurlijk.
Maar ja, het is ook maar een manager, die weet niet beter.
Ik weet nu in ieder geval wel dat ik niet bij deze kwast moet zijn als ik geld uit wil geven.
Dat is absoluut niet waar,dat openbronsoftware onveilig is.
Het fijne ervan is dat iedereen op deze aardbol,een programma kan verbeteren.
Kijk maar naar Linux het openbron besturingssysteem een prachtig staaltje werk,wat echt niet onderdoet aan Windows,alleen totaal een andre structuur heeft dan windows dus wat anders werkt.
Ik ben het er echter wel mee eens dat er van openbronsoftware door kwaadaardige programmeurs op de wereld,een misleidend programma kan worden gemaakt als ze dat willen,wat dan wel onveilig kan zijn als je het zou installeren.
Denk maar aan een gratis nepvirusscanner bijvoorbeeld.
Het stukje programmeerwerk ziek er gelikt uit,maar is super misleidend.
Het fijne ervan is dat iedereen op deze aardbol,een programma kan verbeteren.
Kijk maar naar Linux het openbron besturingssysteem een prachtig staaltje werk,wat echt niet onderdoet aan Windows,alleen totaal een andre structuur heeft dan windows dus wat anders werkt.
Ik ben het er echter wel mee eens dat er van openbronsoftware door kwaadaardige programmeurs op de wereld,een misleidend programma kan worden gemaakt als ze dat willen,wat dan wel onveilig kan zijn als je het zou installeren.
Denk maar aan een gratis nepvirusscanner bijvoorbeeld.
Het stukje programmeerwerk ziek er gelikt uit,maar is super misleidend.
23-09-2009, 17:08 door
[Account Verwijderd]
[Verwijderd]
23-09-2009, 17:11 door
Night
Opinierend stukje?
Als je producten verkoopt waar gratis open source alternatieven voor zijn, sta je aan één kant.
Als je een open source aanhanger bent sta je aan de andere kant.
Shalowitz valt in de eerste groep dus de rest spreekt voor zich.
Of er onafhankelijke deskundigen zijn die hierover een mening hebben weet ik niet maar ik zou dat graag eens naast de argumenten van de bevooroordeelde partijne willen zien....
Als je producten verkoopt waar gratis open source alternatieven voor zijn, sta je aan één kant.
Als je een open source aanhanger bent sta je aan de andere kant.
Shalowitz valt in de eerste groep dus de rest spreekt voor zich.
Of er onafhankelijke deskundigen zijn die hierover een mening hebben weet ik niet maar ik zou dat graag eens naast de argumenten van de bevooroordeelde partijne willen zien....
23-09-2009, 17:12 door
Skizmo
Het bedrijf biedt zelf een commerciële oplossing en doet z'n best om gebruikers van freeware tot betalen over te halen.
Daar heb je het probleem dus. Gehele artikel mag zo de prullenbak in.Er mag best kritiek zijn op OpenSource, maar deze gast heeft geen idee waar hij het over heeft. Ik snap ook niet waarom dit op security.nl moet staan? Iemand die denkt dat hij in comerciele software 'geheimen kan bewaren' heeft geen idee van beveiliging.
Piet
Piet
Misschien moeten ze de RFC's voor internet protocollen ook maar 'closed source' maken. Als niemand weet hoe het werkt is dit misschien wel zo veilig.
Dat geldt natuurlijk dubbel voor software patenten die in deze superveilige 'closed source' systemen gebruikt zijn! Een goede juridische afdeling om deze patenten veilig te houden tegen kwaadwillenden is hierin onontbeerlijk.
Dat geldt natuurlijk dubbel voor software patenten die in deze superveilige 'closed source' systemen gebruikt zijn! Een goede juridische afdeling om deze patenten veilig te houden tegen kwaadwillenden is hierin onontbeerlijk.
> "Wij hebben onze software vanaf de grond opgebouwd, en doordat niet iedereen onze code kan bekijken, is het inherent veiliger."
Bwhahaha. Maar goed, leef gerust verder. En moge je veel geld verdienen zou ik zeggen.
We wachten het eerste grote incident rustig af, want deze meneer vergeet dat 'hackers' (zijn woordkeuze) ook op de bonnevooi naar gaten kunnen zoeken. Geen broncode voor nodig.
Natuurlijk moet hij zoiets zeggen. Alleen jammer dat hij voor zijn dienstverlening deels ook afhankelijk is van 'freeware' (zijn woordkeuze). Hoezo ongenuanceerd ? Of ter zake kundig.
Dit soort 'nieuws' maakt mijn druilerige humeur (waar is de zon ?) weer goed.
Bwhahaha. Maar goed, leef gerust verder. En moge je veel geld verdienen zou ik zeggen.
We wachten het eerste grote incident rustig af, want deze meneer vergeet dat 'hackers' (zijn woordkeuze) ook op de bonnevooi naar gaten kunnen zoeken. Geen broncode voor nodig.
Natuurlijk moet hij zoiets zeggen. Alleen jammer dat hij voor zijn dienstverlening deels ook afhankelijk is van 'freeware' (zijn woordkeuze). Hoezo ongenuanceerd ? Of ter zake kundig.
Dit soort 'nieuws' maakt mijn druilerige humeur (waar is de zon ?) weer goed.
23-09-2009, 17:22 door
KwukDuck
Vind deze zwak onderbouwde mening hier ook niet echt thuis horen op security.nl. misschien in het forum, niet bij nieuwsberichten.
Gelukkig staat vrij bovenaan ook al de reden van zijn 'mening', mensen aanzetten te gaan betalen voor de diensten die hij samen aanbied.
Gelukkig staat vrij bovenaan ook al de reden van zijn 'mening', mensen aanzetten te gaan betalen voor de diensten die hij samen aanbied.
23-09-2009, 17:38 door
spatieman
Het bedrijf biedt zelf een commerciële oplossing en doet z'n best om gebruikers van freeware tot betalen over te halen.
oh..
dus microsoft softwarehebt nooit virusen en dergelijke gehad, omdat het betaalde software is?
oh..
dus microsoft softwarehebt nooit virusen en dergelijke gehad, omdat het betaalde software is?
Door meinonA: Wederom: belachelijk dat Security.nl dit publiceert.
Door Anoniem: Ik zou hierover maar een ding willen zeggen:
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
Er is niets mis mee om dit te publiceren. Als je iemand dit hoort napraten weet je nu waar het vandaan komt en kan je beter weerwoord geven. Het citeren van een mening wil niet zeggen dat de redactie het met die mening eens of oneens is.
23-09-2009, 19:26 door
Ziekheid
Verre van objectief deze man, geen aandacht aan besteden.
Door spatieman: Het bedrijf biedt zelf een commerciële oplossing en doet z'n best om gebruikers van freeware tot betalen over te halen.
oh..
dus microsoft softwarehebt nooit virusen en dergelijke gehad, omdat het betaalde software is?
oh..
dus microsoft softwarehebt nooit virusen en dergelijke gehad, omdat het betaalde software is?
Jazeker en Linux zit vol virussen omdat het open source is.
23-09-2009, 20:10 door
assarix
De wet van Linus zegt hem waarschijnlijk ook niks. "Given enough eyeballs, all bugs are shallow" druist helemaal in tegen het "doordat niet iedereen onze code kan bekijken, is het inherent veiliger". Het wordt overigens ook constant bewezen dat dat laatste bullshit is.
23-09-2009, 20:26 door
Eerde
Die man is mentaal verdwaald... a relative of Jeff Jones perhaps ?
Heel slim closed source kopen van een klein obscuur bedrijfje in .ro ipv open source van Red Hat, Novell & Co. waar iedereen in kan zien dat er geen malware verstopt zit.
'Tuurlijk blijkt eea ook uit de aantallen lekken, infecties etc. die tref je nooit aan bij closed source als M$, maar altijd bij open source, dream on joh, Jon Shalowitz !
Heel slim closed source kopen van een klein obscuur bedrijfje in .ro ipv open source van Red Hat, Novell & Co. waar iedereen in kan zien dat er geen malware verstopt zit.
'Tuurlijk blijkt eea ook uit de aantallen lekken, infecties etc. die tref je nooit aan bij closed source als M$, maar altijd bij open source, dream on joh, Jon Shalowitz !
Dit hoort dus niet op security.nl? Kan de naam dan niet beter worden gewijzigd? Iets als: wijhatenmicrosoft.nl? Want dat is de enige mening die je hier mag geven kennelijk.
23-09-2009, 21:26 door
MrBil
Een beetje jammer dit.
23-09-2009, 23:18 door
Rene V
Door Anoniem: Dit hoort dus niet op security.nl? Kan de naam dan niet beter worden gewijzigd? Iets als: wijhatenmicrosoft.nl? Want dat is de enige mening die je hier mag geven kennelijk.
Vergeten in te loggen Van Hoorne?
Als er iets positiefs wordt gemeld over M$ (wat ook gebeurd) dan hoor je ze niet, maar wanneer het NIET over M$ gaat (want daar ging dit artikel absoluut niet over), dan gaan de M$ fanboys lopen blaten.
Schaapjes.
24-09-2009, 00:28 door
prikkebeen
Door Anoniem: Dit hoort dus niet op security.nl? Kan de naam dan niet beter worden gewijzigd? Iets als: wijhatenmicrosoft.nl? Want dat is de enige mening die je hier mag geven kennelijk.
Nee hoor, Lamaar. Je mag hier ook op Google kankeren. Toch?
24-09-2009, 02:15 door
Goeroeboeroe
Natuurlijk hoort dit thuis op security.nl. Ze zeggen toch niet dat die man gelijk heeft of zo? Ik had 't artikel in zdnet ook al gelezen, en 't is wel handig als meer mensen weten wat voor kritiekloze troep (inderdaad 'n advertorial) zdnet durft te publiceren.
Als 'n leverancier van software 'n kulverhaal ophangt over security via 'n advertorial, dan zou dat niet op 'n site die grotendeels over security en software gaat thuishoren?
Als 'n leverancier van software 'n kulverhaal ophangt over security via 'n advertorial, dan zou dat niet op 'n site die grotendeels over security en software gaat thuishoren?
24-09-2009, 02:38 door
prikkebeen
Ha ha, ze gebruiken zelf BIND!
https://lists.dns-oarc.net/pipermail/dns-operations/2009-September/004481.html
Hun servers draaien Red Hat...
http://searchdns.netcraft.com/?position=limited&host=nominum.com
Open Scource dus.
Die man is echt slim zeg.
https://lists.dns-oarc.net/pipermail/dns-operations/2009-September/004481.html
Hun servers draaien Red Hat...
http://searchdns.netcraft.com/?position=limited&host=nominum.com
Open Scource dus.
Die man is echt slim zeg.
"Opensource is onveilig doordat hackers naar de code kunnen kijken en bedrijven die het gebruiken zullen met alleen maar meer problemen te maken krijgen, zegt Jon Shalowitz, algemeen manager van Skye, een divisie van het Amerikaanse Nominum. "
Opensource is veilig doordat programmeurs naar de code kunnen kijken en fouten eruit kunnen halen. Bij closed source kunnen leveranciers gemakkelijker pretenderen dat hun produkt veilig is, doordat onafhankelijke deskundigen de code niet kunnen controleren op mogelijke zwakheden.
Je kunt dit soort discussies natuurlijk alle kanten opsturen, en de mening van zo'n algemeen manager lijkt mij niet nieuwswaardig - het is niet objectief, en enkel ter ondersteuning van de eigen commerciele belangen. Wat dat betreft zou het mooi zijn wanneer beveiligingswebsites dit soort marketing-talk simpelweg zouden negeren. Marketing-talk is -geen- nieuws.
Opensource is veilig doordat programmeurs naar de code kunnen kijken en fouten eruit kunnen halen. Bij closed source kunnen leveranciers gemakkelijker pretenderen dat hun produkt veilig is, doordat onafhankelijke deskundigen de code niet kunnen controleren op mogelijke zwakheden.
Je kunt dit soort discussies natuurlijk alle kanten opsturen, en de mening van zo'n algemeen manager lijkt mij niet nieuwswaardig - het is niet objectief, en enkel ter ondersteuning van de eigen commerciele belangen. Wat dat betreft zou het mooi zijn wanneer beveiligingswebsites dit soort marketing-talk simpelweg zouden negeren. Marketing-talk is -geen- nieuws.
24-09-2009, 09:51 door
carolined
Door Duckman: Heerlijk zo'n meninkje.
Opensource is slecht voor je HDD. Omdat open source door iedereen geschreven en aangevuld kan worden staan er dus onnodig data regels tussen en dit is slecht voor je HDD. Door deze onodige regels slijt je HDD sneller, doordat je leeskom onodig van regel naar regel springt. (is ook een mening)
Opensource is slecht voor je HDD. Omdat open source door iedereen geschreven en aangevuld kan worden staan er dus onnodig data regels tussen en dit is slecht voor je HDD. Door deze onodige regels slijt je HDD sneller, doordat je leeskom onodig van regel naar regel springt. (is ook een mening)
Leuke mening ... maar is het wel zo?
Zijn de feiten niet anders ?
Staat er wel data tussen de regels in de binaries? Ik kan het me nauwelijks voorstellen.
Overigens ben ik het geheel niet eens met de mening van de heer (het zijn altijd heren die deze onzin uitkramen, nooit blondjes) Jon Shalowitz.
24-09-2009, 09:53 door
ej__
Nominum telt niet echt meer mee in de markt. Dat ziet deze meneer waarschijnlijk ook. Nominum is er bij tenminste 1 grote partij in Nederland hard uitgetrapt. Dat had een reden. :-)
EJ
EJ
Door Anoniem:
Door Anoniem: Ik zou hierover maar een ding willen zeggen:
"Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
Nee, nee. Kritiek op open source is niet toegestaan volgens jou dus."Don't feed the trolls".
Kortom: deze berichten horen niet thuis op een website als Security.nl
Kritiek en een stevige discussie is altijd welkom, maar deze man kraamt gewoon onzin en pertinente onwaarheden uit. En dat alleen om een eigen produkt te promoten en publiciteit te genereren, dat ligt er toch dubbeldik bovenop? Voor mij meer dan voldoende reden om berichten als deze niet te publiceren Security.nl.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
