image

OpenSSL vraagt overheden en bedrijven om hulp

dinsdag 15 april 2014, 12:22 door Redactie, 4 reacties

Overheden en bedrijven die van OpenSSL gebruik maken zouden meer aan de software moeten bijdragen, zo stelt de president van de OpenSSL Software Foundation. OpenSSL is een opensource implementatie van de TLS- en SSL-protocollen en wordt door een klein team van ontwikkelaars beheerd.

Via OpenSSL kunnen bijvoorbeeld websites het verkeer tussen de website en hun bezoekers versleutelen. Vorige week werd er een zeer ernstig beveiligingslek in de software ontdekt waardoor een aanvaller vertrouwelijke informatie uit het geheugen van een webserver kan bemachtigen. Daardoor is het mogelijk om zaken als wachtwoorden en cookies en in bepaalde gevallen ook de SSL-sleutels te stelen.

Inkomsten

In een blogposting erkent president Steve Marquess de ernst van het lek, maar stelt tevens dat het eigenlijk een wonder is dat er niet meer van dit soort problemen zijn voorgekomen. Ondanks het grote belang van OpenSSL zou de stichting moeite hebben om voldoende inkomsten te genereren. Jaarlijks wordt er slechts voor 2.000 dollar aan donaties opgehaald. Het meeste geld verdienen de OpenSSL-ontwikkelaars met het uitvoeren van maatwerkopdrachten voor organisaties.

Marquess vindt echter dat het niet realistisch is dat een paar honderd of duizend mensen voor alle inkomsten verantwoordelijk zouden moeten zijn. "Degenen die echte middelen zouden moeten vrijmaken zijn de commerciële bedrijven en overheden die OpenSSL uitgebreid gebruiken en het voor lief nemen."

Heartbleed

Wat betreft de Heartbleed-bug van vorige week laat Marquess weten dat in elke software beveiligingslekken worden gevonden. Daarnaast is de code van OpenSSL door het ontwikkelteam bekeken en zag niemand het probleem. Ook was de code voor de gehele OpenSSL-gemeenschap toegankelijk en is het niemand opgevallen.

OpenSSL wordt verder door veel multinationals en overheidsinstanties gebruikt die over voldoende middelen beschikken en het ook niet opmerkten of rapporteerden. "Het mysterie is dus niet dat een paar overwerkte vrijwilligers deze bug misten, maar het mysterie is waarom het niet vaker is voorgekomen", besluit de OpenSSL president zijn pleidooi.

Reacties (4)
15-04-2014, 12:49 door Ramon.C - Bijgewerkt: 15-04-2014, 12:50
Ik geef mijnheer Steve Marquess gelijk. Laat de grote bedrijven die gebruik maken van zijn product ook wat doneren.

Ook was de code voor de gehele OpenSSL-gemeenschap toegankelijk en is het niemand opgevallen.

Diegene die het wel zijn opgevallen hebben niks van zich laten horen, of die hebben waarschijnlijk een ''top'' tijd gehad zolang men dit nog niet had verholpen. Dit is natuurlijk wel een issue met OS
15-04-2014, 14:17 door Anoniem
Door Ramon.C: Dit is natuurlijk wel een issue met OS
Dit is niet alleen een issue van Open Source, bij Closed Source is het ook mogelijk lekken te vinden en te misbruiken wanneer je ze niet rapporteert. Het vinden van lekken is alleen een stuk lastiger omdat er blackbox getest moet worden in plaats van whitebox.

Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.
15-04-2014, 16:06 door Anoniem
Door Anoniem:
Door Ramon.C: Dit is natuurlijk wel een issue met OS
Dit is niet alleen een issue van Open Source, bij Closed Source is het ook mogelijk lekken te vinden en te misbruiken wanneer je ze niet rapporteert. Het vinden van lekken is alleen een stuk lastiger omdat er blackbox getest moet worden in plaats van whitebox.

Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.

Community driven beheer van de open source is/was één van de kroonjuwelen van de Open Source community waarmee ze nu eigenlijk keihard op hun plaat mee gaan. Ik heb het altijd al een gevaarlijke aanname gevonden om te stellen dat Open Source per definitie veiliger is omdat iedereen de source ervan kan inzien. De community is niet in staat om fouten uit de source code te halen. Het verbaasd me geenszins want crypto is toch best heel erg ingewikkelde materie om te begrijpen laat staan om ervoor te programmeren. Er zijn niet zoveel crypto experts in de wereld die kunnen bevatten of er al dan niet fouten in code zitten laat staan om ze eruit te halen.
Het is goed dat OpenSSL om hulp vraagt, niet dat dit zo heel veel zin gaat hebben maar nu kunnen er al snel wat meer 'experts' naar kijken. Nu nog maar afwachten hoeveel achterdeuren overheden willen gaan inbouwen, want de NSA en de AIVD zien hier vast mogelijkheden voor.
15-04-2014, 16:08 door Anoniem
..en het ook niet opmerkten of rapporteerden.

"Googler Neel Mehta ontdekte het OpenSSL-lek in maart al, veel eerder dan Codenomicon."
http://webwereld.nl/beveiliging/82171-googler-krijgt-15-000-dollar-voor-heartbleed

"Heartbleed OpenSSL-gat: wie wist wat wanneer?"
http://computerworld.nl/beveiliging/82169-heartbleed-openssl-gat-wie-wist-wat-wanneer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.