Stallman: gesloten software bevat opzettelijke backdoors
Vrije en opensourcesoftware mag dan kwetsbaarheden bevatten die misschien lange tijd onopgemerkt blijven, het biedt gebruikers meer bescherming dan gesloten software waar opzettelijk backdoors aan zijn toegevoegd, zo zegt Richard Stallman, oprichter van het GNU Project.
Hij reageert tegenover de Guardian op het recent ontdekte Bash-lek. Volgens Stallman zal het lek op de lange termijn slechts een "stipje" zijn. "Het zal één van de duizenden bugs zijn waar mensen misbruik van maken. Als gebruikers echter het programma controleren kunnen ze features toevoegen en bugs verhelpen." Volgens Stallman kunnen er in elk programma bugs zitten. "Maar een gesloten programma zal waarschijnlijk opzettelijke bugs met kwaadaardige functionaliteit bevatten."
Opensource
Eerder liet beveiligingsexpert Robert Graham weten dat de reeks lekken in populaire opensourcesoftware aangeeft dat maar weinig mensen de broncode ook daadwerkelijk bekijken. Graham krijgt bijval van professor Alan Woodward, beveiligingsexpert aan de informaticaopleiding van de Universiteit van Surrey. "Opensourcefans zeggen dat dit de beste aanpak is, omdat iedereen de code kan bekijken. Helaas gebeurt dat niet en daarnaast is veel oude code in ondoorzichtige talen zoals C geschreven en is niet te vergeten niet goed gestructureerd."
Volgens Woodward is het als het uit elkaar halen van 25-jaar oude spaghetti, het is dan ook geen verrassing dat de code van dit soort programma's niet vaak wordt gecontroleerd. Dit soort lekken, zoals in Bash en OpenSSL, worden dan ook pas gevonden als iemand een bepaald effect opmerkt, niet omdat de code wordt langsgegaan. Woodward waarschuwt dat dit probleem moet worden opgelost, omdat er anders nog meer van dit soort oude problemen zullen komen bovendrijven.
Terwijl de rest heel naïef denkt dat ze met open source veilig zijn, omdat open source software "onder streng toezicht staat van experts". (in de veronderstelling dat deze "experts" altijd aan hun kant staan... maar hoe weet je dat?)
Stevige uitspraak... Ik vind dat kort door de bocht, zo kan ik het ook:
Open-source moet wel malware zijn omdat er anders geen verdienmodel is.
En als er écht geen verdienmodel is, prima, maar dan is de software automatisch amateuristisch.
Etc.
Zorg er gewoon voor dat die bugs er uit gehaald worden, ipv een ander af te zeiken, knuppel.
Niets tegen GNU hoor, alles behalve, maar wel tegen zulke opmerkingen.
En als je geen Nederlands kent is dat ook ondoorzichtig voor de lezer. Maar dat betekent niet dat Nederlands ondoorzichtig is.
C is juist heel doorzichtig omdat je alles in eigen hand hebt. (i.t.t. iets als JavaScript, waar je de broncode moet bekijken om te zien hoe hij iets gaat interpreteren en hoe geheugen toegewezen wordt.)
En als je geen Nederlands kent is dat ook ondoorzichtig voor de lezer. Maar dat betekent niet dat Nederlands ondoorzichtig is.
C is juist heel doorzichtig omdat je alles in eigen hand hebt. (i.t.t. iets als JavaScript, waar je de broncode moet bekijken om te zien hoe hij iets gaat interpreteren en hoe geheugen toegewezen wordt.)
Helemaal met U eens.
Als het niet in COBOL of BASIC is geschreven is het ineens paniek.
Wanneer je dit leest, suggereert Stallman dat in closed source software altijd een backdoor zit. Dat is een gevaarlijke uitspraak, want die impliceert kwade bedoelingen. Natuurlijk kan in closed source software een backdoor zijn toegevoegd, maar er zijn in het verleden ook genoeg mensen geweest, die een programma hebben geschreven met closed source. Soms is dat zelfs nodig om de data veilig te houden.
Wanneer je b.v. een boekhoudpakket schrijft, wil je niet, dat de gebruikers kunnen zien hoe de data versleuteld en verdeeld is. Kunnen ze dat wel, dan kunnen ze makkelijk frauderen, dus je zult de boel willen beveiligen op een moeilijk te vinden manier. Een backdoor wil je juist niet, want dan is fraude nog steeds mogelijk.
http://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability
Stallman geeft volgende conclusie: "the solution is to put energy and resources into auditing and improving free programs".
Wanneer je b.v. een boekhoudpakket schrijft, wil je niet, dat de gebruikers kunnen zien hoe de data versleuteld en verdeeld is. Kunnen ze dat wel, dan kunnen ze makkelijk frauderen, dus je zult de boel willen beveiligen op een moeilijk te vinden manier. Een backdoor wil je juist niet, want dan is fraude nog steeds mogelijk.
Ik zie het al, daar heb je geen kaas van gegeten...
Frauderen met een boekhouding als je source van het pakket hebt, ahum.
Closed Source :
#1 je kunt niet zien hoe slecht het geschreven is (ook Windows is voor een groot gedeelte uit C opgetuigd)
#2 je kunt het niet aanpassen
#3 bugs blijven jarenlang verborgen
#4 je kunt het niet controlleren
#5 je bent afhankelijk van de leverancier of die je #A op de hoogte brengt van kwestbaarheden (slechte PR) #B of die (nog) een patch uitbrengt (denk aan XP) #C of die patch doet wat hij moet doen en niet stiekem meer, of per ongeluk meer
Open Source :
#1 als je je druk kunt maken over slechte C, dan kun je het ook bekijken en aanpassen
#2 je kunt het aanpassen
#3 bugs worden sneller zichtbaar bij (massale) misbruik
#4 je kunt het controlleren
#5 je kunt zelf een mitigerende strategie bepalen omdat je weet hoe de vulnerability werkt en hoe de software werkt.
#6 patches zijn vrij snel verkrijgbaar (laatste 3 grote lekken in open source waren binnen 3 dagen gefixed, laatste 3 grote lekken in closed source (welke bekend zijn gemaakt) gemiddeld 3 maanden).
Nou, dan weet ik wel wat ik zou kiezen...
Je vergeet punt 7 bij open source
#7 Kwaadwillenden die een systeem willen aanvallen kunnen uitgebreid door de code heel lopen totdat ze een aanvalsvector vinden. Dat is veel efficiënter dan maar op goed geluk iets te proberen bij een 'black box'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
