Vorige week had Security.nl een persoonlijk en exclusief interview met Snort-bedenker Martin Roesch, waarbij ook de vragen van onze lezers aan bod kwamen. Snort is het gratis en open source Intrusion Detection en Prevention systeem, bedoeld om indringers buiten systemen te houden. Lezers van Security.nl konden vragen insturen, die Roesch allemaal heeft beantwoord.

Daarnaast heeft hij tien vragen uitgekozen die allemaal een gesigneerd Snort t-shirt en een luxe Sourcefire pen krijgen. Sourcefire is het bedrijf dat Roesch rondom Snort oprichtte. De komende dagen zullen de vragen en antwoorden vanwege de lengte in verschillenden artikelen online verschijnen.

(het eerste deel van de vragen is hier te vinden)

Toen je met de ontwikkeling van Snort begon, had je toen verwacht dat het het meest gebruikte IDS in de wereld zou worden?

Roesch: Nee dat had ik niet verwacht. Ik was zeer verrast dat iemand het gebruikte. Toen ik de eerste release eind 1998 begin 1999 deed, ontving ik verschillende e-mails. Ik deed het vooral voor de lol. Ik vond het fantastisch dat iemand de moeite deed om ernaar te kijken en me feedback wilde geven, dus bleef ik releases uitbrengen, waarop ik weer feedback kreeg en weer releases uitbracht.

In het eerste jaar dat Snort uit was deed ik 23 releases en toen begon het te lopen. In het eerste jaar werd het aardig bekend. Het tweede jaar was het overal en in het derde jaar werd duidelijk dat het niet alleen overal was, maar ook voor zeer belangrijke zaken werd gebruikt. Dat was het moment dat ik met Sourcefire begon. De eerste release van Snort was een sniffer. Het had toen nog geen rule-language. Het was gewoon een nieuwe sniffer die coole dingen deed. Bij de volgende releases werd een basale rule-language toegevoegd. Eind 1999 was de architectuur met de plugins gereed, die we nog steeds vandaag de dag gebruiken. Geloof het of niet, maar dat is nog steeds het werk van tien jaar geleden." Roesch laat weten dat hij de neiging heeft om Snort van de grond af aan opnieuw op te bouwen.

Zoals je weet is het lastig om geld met het ontwikkelen van opensource oplossingen te verdienen, dus wil ik je graag de volgende vraag stellen: Is het ooit bij je opgekomen dat je geld kon verdienen door een open source-gebaseerd IDS en IDS/IPS hardware oplossingen te ontwikkelen om daar uiteindelijk van te kunnen leven voordat Sourcefire bestond?

Roesch "Ik dacht helemaal niet na over het starten van een bedrijf rondom Snort, totdat ik met Sourcefire begon." Een vriend vertelde Roesch om een bedrijf rondom Snort te starten. "Ik vertelde toen dat dit een dom idee was. Snort is gratis, hoe ga ik hier geld mee verdienen. Dat is een lastig probleem. Het begon pas te dagen zes maanden voordat ik het bedrijf oprichtte. En vier maanden ervoor dacht ik na over business modellen die zouden kunnen werken. Het was lastig om met een business model te komen, iedereen gaf anders advies. Ik hou ervan om technologie en producten te ontwikkelen. Ik was erg gericht op het product en was op zoek naar een business model dat zou werken. Ik kwam uiteindelijk met het business model dat we nog steeds gebruiken. "

Roesch vergelijkt Snort en Sourcefire met een auto. "Snort is de motor en Sourcefire bouwt auto's en we bouwen ook de brandstof, wat de content is die we voor Snort ontwikkelen, zoals de rules en plugins. We geven de motor gratis weg en dan bouwen wij de wielen, het stuur en de stoelen. Wat Sourcefire verkoopt, is schaalbaarheid, beheersbaarheid, prestaties en ondersteuning. Ik begreep vanaf het begin dat het instellen van een snort sensor eenvoudig was. Het instellen van twee of drie was al lastig, omdat je dan een database moest hebben en alles aan elkaar moest koppelen. Bij tien of twintig wordt het een opgave. Ik wist dat iedereen die snort op grote schaal wilde uitrollen tegen dezelfde problemen aanliep. Dus bouwde ik een oplossing voor dat probleem. Dat was het juiste om te bouwen. Een high performance Snort platform dat multi-gigabit aan kon en gebruikers honderden sensoren, data en updates liet beheren. Daar willen mensen voor betalen. Dat was het business model wat ik verzon, maar veel mensen noemden het een stom idee, waar niemand voor wil betalen." Sourcefire zette vorig jaar 130 miljoen dollar om. "Het is eigenlijk een prima business model", lacht Roesch.

Geld was volgens Roesch niet de drijfveer om met Snort te beginnen. In de begintijd werd hem regelmatig gevraagd of hij geen spijt ervan had dat Snort open source was. "Juist niet antwoordde ik dan, omdat open source ervoor had gezorgd dat het zo groot en populair werd. Het bouwde de community en merknaam. Ik dacht altijd begin met het bouwen van een goede technologie en de rest zal volgen."

Hij waarschuwt wel dat er bij het opstarten van een bedrijf meer dan alleen een goed product komt kijken. "Ik ben een coder en engineer, maar je moet beseffen dat als je een succesvol bedrijf wil hebben, sales en marketing net zo belangrijk zijn. En zoveel mensen als ik komen daar niet achter. Wij gingen de concurrentie met allerlei grote namen en bedrijven aan. Het gaat erom dat je een goed bedrijf neerzet, niet alleen een goed product of technologie, helaas staan veel mensen daar niet bij stil. Als je je alleen op het product richt, bestaat de kans dat je niet succesvol zult zijn."

Roesch adviseert open source ontwikkelaars dan ook om een goed product te bouwen en als het populair wordt, en er een markt voor is, om dan pas over het opzetten van een bedrijf na te denken.

Een groot deel van je succes kwam door Snort, een open source project dat je ontwikkelde. Denk je dat er een mogelijkheid is dat je ooit een nieuw open source project zult uitbrengen, of via Sourcefire of misschien uit je zelf?

Roesch: Technisch gezien heb ik al een ander open source project. Het is minuscuul in vergelijking met Snort en het is dit kleine programma dat ik ontwikkelde genaamd Deamon logger. Het is een Pcap-to-disk spooling programma. Het is een packet capturing ring buffer systeem. Als je verkeer van de lijn wilt sniffen en opslaan om later te bekijken, kun je het vertellen wat je precies wilt opslaan, zoals welke interface en wanneer de bestanden vervangen moeten worden. Het heeft ook een software tap mode, waarbij je packets van de ene interface kunt sniffen om op de andere af te spelen. Het is daardoor een "junior versie" van TCP/IP replay. Je kunt je pcap bestanden op een interface afspelen.

Sourcefire heeft verschillende andere opensource projecten, zoals Razorback, een open source deep file inspection systeem. Bedoeld voor het analyseren van malware en bestandsformaten. Het kijkt daarbij echt naar de malware. Het kijkt naar de structuur van malware binnen bestanden. We zijn ook bzig met ClamAV bezig, dat Sourcefire eind 2007 kocht. Ook wordt er aan een open fcp project gewerkt, wat een fll-capture project is. Dat is een forensisch project. Met deamon logger kun je de bestanden verzamelen, om ze vervolgens met de andere tools te analyseren.

Roesch hoopt dat hij ooit nog een groot open source project zal uitbrengen. Op het moment is hij echter te druk met andere zaken bezig. "Het is niet eerlijk van mij om te programmeren. Daar bedoel ik mee dat ik niet in staat ben om nu een open source community te ondersteunen. Als ik een release uitbreng en mensen mailen mij, duurt het misschien een week voordat ik ze terug e-mail. Daarom schrijf ik nu geen software. Ik mis het erg, maar ik wil niet de tijd van mensen verdoen of dat mensen denken dat ik software schrijf maar niet ondersteun."

Bestaat de mogelijkheid dat de Snort detectie technologie voor deep packet inspectie door de overheid wordt gebruikt?

Roesch: Ja, dat zou inderdaad kunnen. We beperken niet wat je met Snort kunt doen. Snort is zowel een defensieve als offensieve tool. Je kunt Snort rules schrijven om wachtwoorden of andere inloggegevens op te vangen. Je kunt Snort rules schrijven om andere informatie op te vangen. Het is verrassend voor me dat de meeste mensen dit niet doen."

Volgens Roesch is Sourcefire nooit benaderd door een overheidsinstantie die hulp zocht bij het gebruik van Snort voor deep packet inspection. "Snort is zo bekend en zo uitbreidbaar, dat de meeste overheden dit zelf wel kunnen als ze dit willen. Alsmede filmmaatschappijen en de entertainmentindustrie. Ze hebben ons hier nooit om hulp voor gevraagd. Ze vragen ons om hulp bij het schaalbaar maken. Het gaat dan altijd om defensieve toepassingen. "Ik heb de afgelopen jaren talloze artikelen gezien waarin tools werden beschreven om iets van de "wire" af te plukken en dan denk ik steeds dat je daar ook Snort voor kunt gebruiken. Niemand gebruikt het voor offensieve doeleinden, wat ik eigenlijk wel grappig vind."

Roesch merkt op dat Snort zeker voor offensieve doeleinden is geschikt. "Ik schrijf rules om informatie op te vangen die ik belangrijk vind. Ik kan rules schrijven die documenten, wachtwoorden of wat dan ook opvangen. Snort is een tool, net als een schroevendraaier."

Snort staat bekend als een IDS/IPS wat op een defensieve toepassing duidt. "Het is grappig als je weet wat Snort allemaal kan doen. Snort is een flexibele toolkit voor allerlei netwerk-analyse doeleinden, maar het wordt altijd in het IDS/IPS vakje geplaatst. Het is naar willekeur uit te breiden. Je plugin interfaces voor allerlei analyses, er is de rule-language die eenvoudig is uit te breiden. Het is voor kwade dingen te gebruiken, alleen is dat nooit het geval. Het is net als vuur. Je kunt ermee koken of een stad mee platbranden. En zo hoort elke goede security tool te zijn, je hebt een defensieve en offensieve kant."

Donderdag het derde deel van het interview met Martin Roesch