"PHP CGI-lek toont falen open-source"
De recent geopenbaarde kwetsbaarheid in PHP toont aan dat open source niet veiliger is dan gesloten software omdat er meer mensen naar kijken. Dat stelt beveiligingsexpert Robert Graham. Het idee achter open source is omdat er zoveel gebruikers zijn die de code kunnen inzien, bugs en andere fouten sneller worden ontdekt en verholpen. "Maar het heeft nooit zo gewerkt. Open source is er niet in geslaagd om enig voordeel op beveiligingsgebied te demonstreren."
Volgens Graham is het probleem dat hoewel veel mensen naar open source kunnen kijken, dit niet gebeurt. "Open source-programmeurs hebben gewoon niet de motivatie. Ze willen nieuwe code schrijven en coole features toevoegen, geen oude spullen breken." Aan de andere kant wordt er bij Microsoft wel naar de code gekeken. De softwaregigant betaalt daar mensen zelfs voor.
Ogen
"Het recente PHP CGI-lek is het definitieve bewijs dat de 'veel ogen' theorie niet werkt. PHP is één van de populairste programma's op het web. De kwetsbaarheid was duidelijk aanwezig voor iedereen die naar de code keek. Toch bleef het 7 jaar verborgen." Graham stelt niet dat Microsoft het beter doet of dat er geen andere factoren zijn waarom open source beter dan gesloten software is.
"Ik zeg alleen dat bewezen is dat de 'veel ogen' theorie niet werkt. Tijdens het open source ontwikkelingsproces worden dingen gemist die zelfs een klein aantal ogen zouden moeten zien. De dagen van open source ideologie zijn voorbij. Het is tijd dat we software op de individuele verdiensten beoordelen, niet op de afkomst."
Betalen
De oplossing is volgens Graham dan ook het betalen van onderzoekers voor het vinden van beveiligingslekken, zoals Google en Mozilla doen. "Je kunt Google Chrome of Mozilla Firefox vertrouwen, omdat ze mensen betalen om de bugs te vinden." Volgens beveiligingsexpert Dan Kaminsky gaat het niet om het aantal programmeurs dat naar de code kijkt, maar het aantal gebruikers.
PHP bracht gisterenavond voor de tweede keer een beveiligingsupdate uit om het probleem in de populaire scripttaal op te lossen. De eerste update bleek niet volledig te werken.
Wat schreef Robert David Graham niet zo lang geleden ook alweer? "...when you attack them for invalid concerns, you destroy your credibility". Precies Robert David Graham, je bent al heel lang ongeloofwaardig met je misplaats bagatelliseren en misplaatste kritiek. Kennelijk wil Robert David Graham graag opvallen door steeds weer advocaat van de duivel te spelen.
Hij haalt zijn eigen verhaal onderuit, in zijn eigen betoog (goed gedaan man!)
Buiten dat is het idee achter open source helemaal niet zoals Dhr. Graham stelt!
Opensource staat voor de praktijk die in productie en ontwikkeling vrije toegang geeft tot de bronmaterialen (de source) van het eindproduct.
Ik vind het maar een raar verhaal!
En dat is een beveiligingsexpert?
Zo lust ik er nog wel een paar. Elke software, open of gesloten, bevat per definitie bugs, omdat de perfecte ontwikkelaar niet bestaat. Natuurlijk zijn er kwaadwillenden die van deze bugs misbruik maken om te spioneren, malware te verspreiden en/of meer onheil aan te richten, er rijk van te worden enzovoort.
Mensen betalen om naar deze bugs en vooral het exploiteren ervan te zoeken en liefst de kwade 'genieën' te laten boeten, is een uitstekend idee dat alle verantwoordelijken zouden moeten doen. Openheid en transparantie zijn dé sleutelwoorden van de 21e eeuw. Dat zouden overheden en bedrijven veel hoger in het vaandel moeten (gaan) dragen. Helaas is het tegendeel het geval. Ze proberen hun klanten dom te houden, te beginnen met Henk en Ingrid :-)
Dat lukt al niet meer bij iedereen met een heel klein beetje meer boerenverstand dan deze twee...
"Ik zeg alleen dat bewezen is dat de 'veel ogen' theorie niet werkt."
versus
"PHP CGI-lek toont falen open-source"
Het verhaal doet vooral aan als voer voor de zoveelste flamewar. Niets is de definitieve oplossing tegen menselijke fouten, omdat die oplossing verzonnen en uitgevoerd wordt door feilbare mensen.
Een incident opblazen naar het 'definitieve' bewijs? Dan denk ik aan iets met 'een zwaluw' en 'geen zomer'. Jammer dat er geen ruimte voor nuance meer lijkt te zijn.
Vijf jaar oude bug:
http://www.theregister.co.uk/2010/08/19/linux_vulnerability_fix/
6 jaar oude bug:
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug
13 jaar oude bug:
http://it.slashdot.org/story/11/06/20/2257229/13-year-old-password-security-bug-fixed
14 jaar oude bug:
http://phoronix.com/forums/showthread.php?26128-Linux-2-6-36-rc5-Kernel-Released-Fixes-14-Year-Old-Bug
25 jaar oude bug:
http://www.osnews.com/story/19731/The-25-Year-Old-UNIX-Bug
Wat dat betreft ben ik het eens met Graham. Het feit dat je de source kunt bekijken betekent niet automatisch dat mensen dat ook doen. Al deze oude bugs zijn per toeval ontdekt. Als dat niet was gebeurd zaten ze er waarschijnlijk nog steeds in.
En dan het lek van de RDP kwetsbaarheid. Dat gebeurt dus ook bij closed source.
Waar het probleem hier zit is dat er te lang niets aan de bug is gedaan, niet dat 'ie niet is opgemerkt.
En trouwens, Firefox en Chrome zijn beiden open-source.
Dit vind ik geen argument. We weten immers niet hoeveel bugs er al jaren in closed source zitten of zaten.
Alhoewel, vaak lees je over dat er een Windows-lek is gepatcht, dat in meerdere versies van het systeem zat. Meestal gaat dat dan terug tot XP, en dat is toch al weer een 11 jaar oud OS.
Kijk even naar het aantal opgeloste CVE's en tel even het aantal tussen MS produkten (van 1 leverancier) en OSS produkten.
Tel dan ook even hoe lang ze open staan.
Wijzen naar een populatie van 1 (of 5) en daar een definitief bewijs in zien is onzin.
Misschien dat de strekking van roeptoeter Graham wel waar is: Ook Open Source is kwetsbaar en bevat bugs, maar de stelling dat het faalt is geleuter.
als een populatie van 1 als geldig bewijs wordt gezien gaat de stelling dat de mens onsterfelijk is, want ik leef ook op...
Dat kan met open source natuurlijk ook, maar er zijn meer mensen in de wereld die het kunnen ontdekken en verhelpen.
Nogmaals, het feit dat je de source kunt bekijken betekent niet automatisch dat men dat ook daadwerkelijk doet. DAT is de crux van Graham's argument. En daar geef ik 'm gelijk in.
kun je wel zeggen ze betalen flink daar, nou dan mogen ze er gelijk ook aardig wat onstslaan bij Microsoft, er zijn me daar exploits en gevaren geweest
Uit het artikel:
'failed'.. hij gebruikt het dus zelf...
Open-source wil zeggen dat de broncode open, dus beschikbaar is.
Ubuntu is ontwikkeld door Canonical (groot bedrijf), Redhat, Symfony (Sensio labs, bedrijf), MySQL (Sun, Oracle), Chrome (Google), Firefox (Mozilla). Dus die vlieger gaat niet op maatje ;)
PostgreSQL word met name onderhouden door vrijwilligers, maar schiet op sommige punten Oracle OCI voorbij!
Linux Kernel, vrijwilligers en grote bedrijven (zoals Intel, Microsoft) en jQuery net zo éénder.
PHP is een buitenbeetje, de programmeurs hebben veel te lang serieuze problemen in hun "organisatie" links laten liggen.
Je kan niet de problemen van één project zien als een weerspiegeling van de gehele open-source community.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
