Nieuws
image

"PHP CGI-lek toont falen open-source"

woensdag 9 mei 2012, 15:34 door Redactie, 23 reacties

De recent geopenbaarde kwetsbaarheid in PHP toont aan dat open source niet veiliger is dan gesloten software omdat er meer mensen naar kijken. Dat stelt beveiligingsexpert Robert Graham. Het idee achter open source is omdat er zoveel gebruikers zijn die de code kunnen inzien, bugs en andere fouten sneller worden ontdekt en verholpen. "Maar het heeft nooit zo gewerkt. Open source is er niet in geslaagd om enig voordeel op beveiligingsgebied te demonstreren."

Volgens Graham is het probleem dat hoewel veel mensen naar open source kunnen kijken, dit niet gebeurt. "Open source-programmeurs hebben gewoon niet de motivatie. Ze willen nieuwe code schrijven en coole features toevoegen, geen oude spullen breken." Aan de andere kant wordt er bij Microsoft wel naar de code gekeken. De softwaregigant betaalt daar mensen zelfs voor.

Ogen
"Het recente PHP CGI-lek is het definitieve bewijs dat de 'veel ogen' theorie niet werkt. PHP is één van de populairste programma's op het web. De kwetsbaarheid was duidelijk aanwezig voor iedereen die naar de code keek. Toch bleef het 7 jaar verborgen." Graham stelt niet dat Microsoft het beter doet of dat er geen andere factoren zijn waarom open source beter dan gesloten software is.

"Ik zeg alleen dat bewezen is dat de 'veel ogen' theorie niet werkt. Tijdens het open source ontwikkelingsproces worden dingen gemist die zelfs een klein aantal ogen zouden moeten zien. De dagen van open source ideologie zijn voorbij. Het is tijd dat we software op de individuele verdiensten beoordelen, niet op de afkomst."

Betalen
De oplossing is volgens Graham dan ook het betalen van onderzoekers voor het vinden van beveiligingslekken, zoals Google en Mozilla doen. "Je kunt Google Chrome of Mozilla Firefox vertrouwen, omdat ze mensen betalen om de bugs te vinden." Volgens beveiligingsexpert Dan Kaminsky gaat het niet om het aantal programmeurs dat naar de code kijkt, maar het aantal gebruikers.

PHP bracht gisterenavond voor de tweede keer een beveiligingsupdate uit om het probleem in de populaire scripttaal op te lossen. De eerste update bleek niet volledig te werken.

Reacties (23)
09-05-2012, 15:51 door Anoniem
Robert David Graham vergeet voor het genoegen van opvallen in de media gewoon even dat 1 incident in een specifiek softwareproduct niets zegt over veiligheid van opensource, om het nog maar niet te hebben over de vele veiligheidsbugs die iedere dag in vele honderden opensourceproducten wel opgelost worden!

Wat schreef Robert David Graham niet zo lang geleden ook alweer? "...when you attack them for invalid concerns, you destroy your credibility". Precies Robert David Graham, je bent al heel lang ongeloofwaardig met je misplaats bagatelliseren en misplaatste kritiek. Kennelijk wil Robert David Graham graag opvallen door steeds weer advocaat van de duivel te spelen.
09-05-2012, 15:57 door Anoniem
Gedeeltelijk mee eens, maar als er een probleem gevonden word, dan kan het wel minder goed verborgen blijven, waar privé bedrijven dat wel kunnen blijven onder de mat schuiven omdat het "enkel intern" gekend is.
09-05-2012, 16:03 door Anoniem
Maar als er meer mensen naar 'open source' kijken dan naar 'closed source' gaat deze vergelijking toch helemaal niet op, meneer Graham!
Hij haalt zijn eigen verhaal onderuit, in zijn eigen betoog (goed gedaan man!)

Buiten dat is het idee achter open source helemaal niet zoals Dhr. Graham stelt!
Opensource staat voor de praktijk die in productie en ontwikkeling vrije toegang geeft tot de bronmaterialen (de source) van het eindproduct.

Ik vind het maar een raar verhaal!
09-05-2012, 16:03 door Anoniem
"Een concept werkt per definitie niet omdat er een fout voor zowel de makers als de misbruikers bij een groot project voor 7 jaar verborgen is gebleven." En dan twee voorbeelden naar voren halen die aan open-source ontwikkeling doen.
En dat is een beveiligingsexpert?
09-05-2012, 16:06 door Anoniem
Google vertrouwen ? LOL Succes he
09-05-2012, 16:15 door Patio
Tijdens het open source ontwikkelingsproces worden dingen gemist die zelfs een klein aantal ogen zouden moeten zien. De dagen van open source ideologie zijn voorbij.

Zo lust ik er nog wel een paar. Elke software, open of gesloten, bevat per definitie bugs, omdat de perfecte ontwikkelaar niet bestaat. Natuurlijk zijn er kwaadwillenden die van deze bugs misbruik maken om te spioneren, malware te verspreiden en/of meer onheil aan te richten, er rijk van te worden enzovoort.

Mensen betalen om naar deze bugs en vooral het exploiteren ervan te zoeken en liefst de kwade 'genieën' te laten boeten, is een uitstekend idee dat alle verantwoordelijken zouden moeten doen. Openheid en transparantie zijn dé sleutelwoorden van de 21e eeuw. Dat zouden overheden en bedrijven veel hoger in het vaandel moeten (gaan) dragen. Helaas is het tegendeel het geval. Ze proberen hun klanten dom te houden, te beginnen met Henk en Ingrid :-)

Dat lukt al niet meer bij iedereen met een heel klein beetje meer boerenverstand dan deze twee...
09-05-2012, 16:17 door [Account Verwijderd]
[Verwijderd]
09-05-2012, 16:23 door User2048
Ik vind dat de titel die de redactie heeft geplaatst de lading niet dekt. Een beetje Telegraaf-stijl, zeg maar.

"Ik zeg alleen dat bewezen is dat de 'veel ogen' theorie niet werkt."

versus

"PHP CGI-lek toont falen open-source"
09-05-2012, 16:23 door Rasalom
Het recente PHP CGI-lek is het definitieve bewijs dat de 'veel ogen' theorie niet werkt.
... niet *altijd* werkt.

Het verhaal doet vooral aan als voer voor de zoveelste flamewar. Niets is de definitieve oplossing tegen menselijke fouten, omdat die oplossing verzonnen en uitgevoerd wordt door feilbare mensen.

Een incident opblazen naar het 'definitieve' bewijs? Dan denk ik aan iets met 'een zwaluw' en 'geen zomer'. Jammer dat er geen ruimte voor nuance meer lijkt te zijn.
09-05-2012, 16:35 door Anoniem
Open source was toch dat je de bron _KUNT_ bekijken/aanpassen... En verder zal het de ontwikkelaar een worst wezen of je dat doet.
09-05-2012, 17:41 door SirDice
Een incident? Jullie zijn erg kort van memorie.

Vijf jaar oude bug:
http://www.theregister.co.uk/2010/08/19/linux_vulnerability_fix/

6 jaar oude bug:
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug

13 jaar oude bug:
http://it.slashdot.org/story/11/06/20/2257229/13-year-old-password-security-bug-fixed

14 jaar oude bug:
http://phoronix.com/forums/showthread.php?26128-Linux-2-6-36-rc5-Kernel-Released-Fixes-14-Year-Old-Bug

25 jaar oude bug:
http://www.osnews.com/story/19731/The-25-Year-Old-UNIX-Bug

Wat dat betreft ben ik het eens met Graham. Het feit dat je de source kunt bekijken betekent niet automatisch dat mensen dat ook doen. Al deze oude bugs zijn per toeval ontdekt. Als dat niet was gebeurd zaten ze er waarschijnlijk nog steeds in.
09-05-2012, 17:54 door Anoniem
Tja, de designfout in Windows waar Stuxnet gebruik van maakte werd ook al jaren door niemand opgemerkt, ondanks het feit dat de functie at <hours>:<minutes> /interactive "programma_dat_nu_met_root_rechten_draait.exe" ook door de nodige ontwikkelaar werd toegepast...

En dan het lek van de RDP kwetsbaarheid. Dat gebeurt dus ook bij closed source.

Waar het probleem hier zit is dat er te lang niets aan de bug is gedaan, niet dat 'ie niet is opgemerkt.

En trouwens, Firefox en Chrome zijn beiden open-source.
09-05-2012, 19:33 door HiSeCu
De volgende vraag is dus: Wat is veiliger, closed source of open source waarbij de melder van vulnerabilities een beloning krijgt. Persoonlijk denk ik het laatste, maar het is moeilijk hard te maken. Misschien kunnen we dat na een aantal jaren bepalen.
10-05-2012, 08:50 door Anoniem
Open source is meestal wat minder georganiseerd (omdat dit ook bestaat uit veel vrijwilligers). Achter closed source zit meestal een organisatie/bedrijf. Dit is echt zoiets als: Appels met peren vergelijken. Ik snap het probleem maar kijk ook naar de andere kant.
10-05-2012, 09:10 door Anoniem
Door SirDice: Een incident? Jullie zijn erg kort van memorie.

Dit vind ik geen argument. We weten immers niet hoeveel bugs er al jaren in closed source zitten of zaten.

Alhoewel, vaak lees je over dat er een Windows-lek is gepatcht, dat in meerdere versies van het systeem zat. Meestal gaat dat dan terug tot XP, en dat is toch al weer een 11 jaar oud OS.
10-05-2012, 09:12 door Anoniem
@Sirdice

Kijk even naar het aantal opgeloste CVE's en tel even het aantal tussen MS produkten (van 1 leverancier) en OSS produkten.
Tel dan ook even hoe lang ze open staan.

Wijzen naar een populatie van 1 (of 5) en daar een definitief bewijs in zien is onzin.
Misschien dat de strekking van roeptoeter Graham wel waar is: Ook Open Source is kwetsbaar en bevat bugs, maar de stelling dat het faalt is geleuter.

als een populatie van 1 als geldig bewijs wordt gezien gaat de stelling dat de mens onsterfelijk is, want ik leef ook op...
10-05-2012, 09:41 door Patio
Gevoelsmatig denk ik ook dat open source veiliger is dan commerciële software omdat er meer mensen naar kunnen kijken. Het oplossen van bugs in bij voorbeeld Windows kan alleen door M$-ontwikkelaars gedaan worden na melding door iemand die er tegenaan loopt. Iemand die een veiligheidslek ontdekt zal dat eerder gebruiken in eigen voordeel dan melden lijkt me.

Dat kan met open source natuurlijk ook, maar er zijn meer mensen in de wereld die het kunnen ontdekken en verhelpen.
10-05-2012, 10:53 door SirDice
Zucht, jullie missen compleet het argument van Graham. Hij zegt niet dat closed source beter is dan open source, hij zegt dat open source niet per definitie veiliger is, dat dat "many-eyes" argument geen steek houdt. Iets wat wel altijd als argument voor open source wordt gebruikt.

Nogmaals, het feit dat je de source kunt bekijken betekent niet automatisch dat men dat ook daadwerkelijk doet. DAT is de crux van Graham's argument. En daar geef ik 'm gelijk in.
10-05-2012, 10:57 door SirDice
Door Anoniem: Misschien dat de strekking van roeptoeter Graham wel waar is: Ook Open Source is kwetsbaar en bevat bugs, maar de stelling dat het faalt is geleuter.
De stelling dat het faalt komt van Security.nl, niet van Graham. Het originele artikel lezen wil ook wel eens helpen.
10-05-2012, 14:34 door Anoniem
hmzz zullen we alle pleisters van Microsoft eens naast die van opensource leggen. plus de reactie tijd.

kun je wel zeggen ze betalen flink daar, nou dan mogen ze er gelijk ook aardig wat onstslaan bij Microsoft, er zijn me daar exploits en gevaren geweest
10-05-2012, 14:42 door Anoniem
@sirdice

Uit het artikel:
Open-source has failed to demonstrate any advantage in security[/auote]

'failed'.. hij gebruikt het dus zelf...
10-05-2012, 18:40 door [Account Verwijderd]
[Verwijderd]
11-05-2012, 09:34 door Anoniem
Door Anoniem: Open source is meestal wat minder georganiseerd (omdat dit ook bestaat uit veel vrijwilligers). Achter closed source zit meestal een organisatie/bedrijf. Dit is echt zoiets als: Appels met peren vergelijken. Ik snap het probleem maar kijk ook naar de andere kant.

Open-source wil zeggen dat de broncode open, dus beschikbaar is.

Ubuntu is ontwikkeld door Canonical (groot bedrijf), Redhat, Symfony (Sensio labs, bedrijf), MySQL (Sun, Oracle), Chrome (Google), Firefox (Mozilla). Dus die vlieger gaat niet op maatje ;)

PostgreSQL word met name onderhouden door vrijwilligers, maar schiet op sommige punten Oracle OCI voorbij!
Linux Kernel, vrijwilligers en grote bedrijven (zoals Intel, Microsoft) en jQuery net zo éénder.

PHP is een buitenbeetje, de programmeurs hebben veel te lang serieuze problemen in hun "organisatie" links laten liggen.
Je kan niet de problemen van één project zien als een weerspiegeling van de gehele open-source community.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search