Beveiligingslekken in opensource software worden vaker en sneller door hackers aangevallen dan kwetsbaarheden in gesloten software, zo blijkt uit onderzoek. Volgens onderzoeker Sam Ransbotham geeft de beschikbaarheid van broncode aanvallers mogelijk een voordeel bij het ontwikkelen van exploits. Tijdens het onderzoek "An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software" werd twee jaar lang data van intrusion detection systemen geanalyseerd, in totaal 400 miljoen waarschuwingen. Aanvallen op lekken in opensource software zouden drie dagen eerder plaatsvinden en met bijna vijftig procent grotere frequentie.
Ransbotham erkent dat het bekijken van de broncode voordat een product verschijnt grote voordelen heeft en ervoor kan zorgen dat opensource software in potentie veiliger is dan gesloten software. "Voor wat betreft lekken die na de release worden gevonden, werkt het voordeel van veel mensen die meekijken tegen de veiligheid van opensource software." Aangezien aanvallers ook toegang tot de code hebben, kunnen ze de details van een lek achterhalen en uitzoeken hoe het te misbruiken is.
Exploits
Volgens experts kan er geen algemene conclusie worden getrokken dat opensource software eenvoudiger te hacken is. "Dat is zeker niet waar", zegt Dave Aitel van Immunity. "Je kunt zelfs de tegenovergestelde conclusie trekken aan de hand van het aantal exploits dat op websites zoals Packetstorm aanwezig is."
Gary McGraw van Cigital merkt op dat het niet om opensource of gesloten source gaat, maar hoe een bedrijf software ontwikkelt. "Aanvallers kunnen uiteindelijk de informatie bemachtigen om een lek te misbruiken, zij het via geautomatiseerde aanvalssoftware, het reverse engineeren van patches of door iemand die toegang tot de broncode krijgt, dus bedrijven moeten daar rekening mee houden."
Microsoft
Het onderzoek is ook bij Microsoft niet onopgemerkt voorbij gegaan. "Komt het de beveiliging ten goede als iedereen de code kan zien of helpt het de aanvallers?" is de vraag die Microsoft beveiligingschef Roger Halbheer stelt. Hij merkt meteen op dat hij geen religieuze discussie wil over welk model nu veiliger is. "Ik geloof niet dat zo'n discussie veel waarde heeft."
Sinds enige jaren deelt Microsoft de broncode van Windows met bepaalde landen. "Soms hebben we de discussie met overheidsfunctionarissen of het hebben van toegang tot de code een aanvallend land een voordeel geeft op het gebied van cyberoorlog of cyberspionage. Naar die discussie kijkend, zou opensource helemaal slecht af zijn, aangezien daar iedereen toegang tot de code heeft." Wat betreft het grotere aantal lekken in opensource software, komt dit volgens Halbheer vanwege het gebrek aan processen om beveiliging vanaf het begin aan het product toe te voegen.
In zijn onderzoek zegt Ransbotham ook dat als de verdedigers patchen, aanvallers voor een andere exploit kiezen. "In andere woorden, het hebben van een sterk incident respons team, naast het engineering proces, is net zo belangrijk", laat Halbheer weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.