OpenSSL vraagt overheden en bedrijven om hulp
Overheden en bedrijven die van OpenSSL gebruik maken zouden meer aan de software moeten bijdragen, zo stelt de president van de OpenSSL Software Foundation. OpenSSL is een opensource implementatie van de TLS- en SSL-protocollen en wordt door een klein team van ontwikkelaars beheerd.
Via OpenSSL kunnen bijvoorbeeld websites het verkeer tussen de website en hun bezoekers versleutelen. Vorige week werd er een zeer ernstig beveiligingslek in de software ontdekt waardoor een aanvaller vertrouwelijke informatie uit het geheugen van een webserver kan bemachtigen. Daardoor is het mogelijk om zaken als wachtwoorden en cookies en in bepaalde gevallen ook de SSL-sleutels te stelen.
Inkomsten
In een blogposting erkent president Steve Marquess de ernst van het lek, maar stelt tevens dat het eigenlijk een wonder is dat er niet meer van dit soort problemen zijn voorgekomen. Ondanks het grote belang van OpenSSL zou de stichting moeite hebben om voldoende inkomsten te genereren. Jaarlijks wordt er slechts voor 2.000 dollar aan donaties opgehaald. Het meeste geld verdienen de OpenSSL-ontwikkelaars met het uitvoeren van maatwerkopdrachten voor organisaties.
Marquess vindt echter dat het niet realistisch is dat een paar honderd of duizend mensen voor alle inkomsten verantwoordelijk zouden moeten zijn. "Degenen die echte middelen zouden moeten vrijmaken zijn de commerciële bedrijven en overheden die OpenSSL uitgebreid gebruiken en het voor lief nemen."
Heartbleed
Wat betreft de Heartbleed-bug van vorige week laat Marquess weten dat in elke software beveiligingslekken worden gevonden. Daarnaast is de code van OpenSSL door het ontwikkelteam bekeken en zag niemand het probleem. Ook was de code voor de gehele OpenSSL-gemeenschap toegankelijk en is het niemand opgevallen.
OpenSSL wordt verder door veel multinationals en overheidsinstanties gebruikt die over voldoende middelen beschikken en het ook niet opmerkten of rapporteerden. "Het mysterie is dus niet dat een paar overwerkte vrijwilligers deze bug misten, maar het mysterie is waarom het niet vaker is voorgekomen", besluit de OpenSSL president zijn pleidooi.
Diegene die het wel zijn opgevallen hebben niks van zich laten horen, of die hebben waarschijnlijk een ''top'' tijd gehad zolang men dit nog niet had verholpen. Dit is natuurlijk wel een issue met OS
Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.
Bij OS zou je op zn minst verwachten dat veel meer mensen de code inzien en het dus uiteindelijk sneller gerapporteerd wordt. Al is het niet door de eerste 10 dan wel door de 11e persoon.
Community driven beheer van de open source is/was één van de kroonjuwelen van de Open Source community waarmee ze nu eigenlijk keihard op hun plaat mee gaan. Ik heb het altijd al een gevaarlijke aanname gevonden om te stellen dat Open Source per definitie veiliger is omdat iedereen de source ervan kan inzien. De community is niet in staat om fouten uit de source code te halen. Het verbaasd me geenszins want crypto is toch best heel erg ingewikkelde materie om te begrijpen laat staan om ervoor te programmeren. Er zijn niet zoveel crypto experts in de wereld die kunnen bevatten of er al dan niet fouten in code zitten laat staan om ze eruit te halen.
Het is goed dat OpenSSL om hulp vraagt, niet dat dit zo heel veel zin gaat hebben maar nu kunnen er al snel wat meer 'experts' naar kijken. Nu nog maar afwachten hoeveel achterdeuren overheden willen gaan inbouwen, want de NSA en de AIVD zien hier vast mogelijkheden voor.
"Googler Neel Mehta ontdekte het OpenSSL-lek in maart al, veel eerder dan Codenomicon."
http://webwereld.nl/beveiliging/82171-googler-krijgt-15-000-dollar-voor-heartbleed
"Heartbleed OpenSSL-gat: wie wist wat wanneer?"
http://computerworld.nl/beveiliging/82169-heartbleed-openssl-gat-wie-wist-wat-wanneer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.