OpenSSL vraagt overheden en bedrijven om hulp
Overheden en bedrijven die van OpenSSL gebruik maken zouden meer aan de software moeten bijdragen, zo stelt de president van de OpenSSL Software Foundation. OpenSSL is een opensource implementatie van de TLS- en SSL-protocollen en wordt door een klein team van ontwikkelaars beheerd.
Via OpenSSL kunnen bijvoorbeeld websites het verkeer tussen de website en hun bezoekers versleutelen. Vorige week werd er een zeer ernstig beveiligingslek in de software ontdekt waardoor een aanvaller vertrouwelijke informatie uit het geheugen van een webserver kan bemachtigen. Daardoor is het mogelijk om zaken als wachtwoorden en cookies en in bepaalde gevallen ook de SSL-sleutels te stelen.
Inkomsten
In een blogposting erkent president Steve Marquess de ernst van het lek, maar stelt tevens dat het eigenlijk een wonder is dat er niet meer van dit soort problemen zijn voorgekomen. Ondanks het grote belang van OpenSSL zou de stichting moeite hebben om voldoende inkomsten te genereren. Jaarlijks wordt er slechts voor 2.000 dollar aan donaties opgehaald. Het meeste geld verdienen de OpenSSL-ontwikkelaars met het uitvoeren van maatwerkopdrachten voor organisaties.
Marquess vindt echter dat het niet realistisch is dat een paar honderd of duizend mensen voor alle inkomsten verantwoordelijk zouden moeten zijn. "Degenen die echte middelen zouden moeten vrijmaken zijn de commerciële bedrijven en overheden die OpenSSL uitgebreid gebruiken en het voor lief nemen."
Heartbleed
Wat betreft de Heartbleed-bug van vorige week laat Marquess weten dat in elke software beveiligingslekken worden gevonden. Daarnaast is de code van OpenSSL door het ontwikkelteam bekeken en zag niemand het probleem. Ook was de code voor de gehele OpenSSL-gemeenschap toegankelijk en is het niemand opgevallen.
OpenSSL wordt verder door veel multinationals en overheidsinstanties gebruikt die over voldoende middelen beschikken en het ook niet opmerkten of rapporteerden. "Het mysterie is dus niet dat een paar overwerkte vrijwilligers deze bug misten, maar het mysterie is waarom het niet vaker is voorgekomen", besluit de OpenSSL president zijn pleidooi.
Diegene die het wel zijn opgevallen hebben niks van zich laten horen, of die hebben waarschijnlijk een ''top'' tijd gehad zolang men dit nog niet had verholpen. Dit is natuurlijk wel een issue met OS
Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.
Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.
Community driven beheer van de open source is/was één van de kroonjuwelen van de Open Source community waarmee ze nu eigenlijk keihard op hun plaat mee gaan. Ik heb het altijd al een gevaarlijke aanname gevonden om te stellen dat Open Source per definitie veiliger is omdat iedereen de source ervan kan inzien. De community is niet in staat om fouten uit de source code te halen. Het verbaasd me geenszins want crypto is toch best heel erg ingewikkelde materie om te begrijpen laat staan om ervoor te programmeren. Er zijn niet zoveel crypto experts in de wereld die kunnen bevatten of er al dan niet fouten in code zitten laat staan om ze eruit te halen.
Het is goed dat OpenSSL om hulp vraagt, niet dat dit zo heel veel zin gaat hebben maar nu kunnen er al snel wat meer 'experts' naar kijken. Nu nog maar afwachten hoeveel achterdeuren overheden willen gaan inbouwen, want de NSA en de AIVD zien hier vast mogelijkheden voor.
"Googler Neel Mehta ontdekte het OpenSSL-lek in maart al, veel eerder dan Codenomicon."
http://webwereld.nl/beveiliging/82171-googler-krijgt-15-000-dollar-voor-heartbleed
"Heartbleed OpenSSL-gat: wie wist wat wanneer?"
http://computerworld.nl/beveiliging/82169-heartbleed-openssl-gat-wie-wist-wat-wanneer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
