image

Expert: opensource niet inherent veiliger dan gesloten software

dinsdag 29 juli 2014, 14:27 door Redactie, 15 reacties

Veel mensen denken dat open-sourcesoftware inherent veiliger dan gesloten software is, maar volgens beveiligingsexpert Robert Graham is dit niet waar. Graham stelt dat mensen opensource voornamelijk vertrouwen omdat ze kunnen controleren of de code geen bugs of lekken bevat.

En als ze het niet zelf kunnen controleren wordt er aangenomen dat andere mensen dit doen. Het principe van de "vele ogen" die de code controleren zou ervoor moeten zorgen dat bugs, lekken en backdoors eerder worden ontdekt. "Dit gebeurt echter zelden", merkt Graham op. Hij wijst naar de Heartbleed-bug in OpenSSL. Een ernstige fout in de code die al jaren aanwezig was en niet opviel.

"Mensen kijken niet naar opensource", gaat de expert verder. Het tegenovergestelde zou echter voor gesloten software gelden, waar bedrijven mensen inschakelen om de code door te lichten. "Ingenieurs controleren code niet voor de eer, maar wel voor het geld." Gegeven twee producten, waarvan één open en één gesloten, is het onmogelijk om te bepalen welke meer gecontroleerd is. "In veel gevallen zal het de gesloten software zijn", laat Graham weten.

Backdoors

Een ander probleem met de veiligheid van opensource is dat als gebruikers bijvoorbeeld een app op hun Android-toestel of iPhone willen installeren, dit eigenlijk alleen via de App stores kan. Dit houdt in dat er een binair bestand wordt gedownload en niet de code. Zonder een "build" waarvan kan worden vastgesteld dat die aan de hand van de publiek beschikbare broncode is gecompileerd, kan niet worden uitgesloten dat het binaire bestand geen backdoor bevat. "Dit houdt in dat een kwaadaardige partij opensource-bestanden net zo gemakkelijk als gesloten software kan backdooren", claimt Graham.

De bevooroordeeldheid over opensource kan tot gevaarlijke situaties denkt de expert. Een bepaalde opensourcebibliotheek en server om te chatten worden door veel mensen gebruikt. De opensourcebibliotheek is op fouten doorzocht en bleek erg buggy te zijn. Daarnaast zouden chat-applicaties een bepaalde maatregel tegen man-in-the-middle-aanvallen niet nemen. "Het is dus bekend dat het opensource-alternatief zeer kwetsbaar is, maar toch blijven mensen het gebruiken, omdat "iedereen weet" dat opensource veiliger is dan gesloten software."

Zelf gebruikt hij een commerciële oplossing van SilentCircle om te chatten, waarvan een deel van de code opensource is. "Die ziet er verschrikkelijk uit, dus het is waarschijnlijk dat er ergens een zero-day kwetsbaarheid zit, maar het is niet erger dan soortgelijke code." In het geval van chat-applicaties is er volgens Graham dan ook geen voordeel om opensourcesoftware te gebruiken.

Reacties (15)
29-07-2014, 15:00 door Anoniem
Appels, Peren ?!
29-07-2014, 15:12 door SPlid
Door Anoniem: Appels, Peren ?!

Begrijp niet helemaal wat je met bovenstaande bedoeld, Robert maakt een vergelijking tussen open source en closed source en komt tot de conclusie dat opensource helemaal niet veiliger is in vergelijking tot closed source. Hij poneert hiermee trouwens ook niet dat closed source wel veilig is ondanks het feit dat er "betaalde" ogen naar kijken .

Hij bestrijd hier alleen maar de "mantra" dat open source veiliger is in vergelijking met closed source
29-07-2014, 15:29 door Briolet
En ik denk dat Graham gelijk heeft dat je niet per definitie een van beiden als veiliger kunt beschouwen.

Als er b.v. een backdoor in zit, dan is dat bij open source wel veel sneller te vinden, maar het kan ook als eerste door de verkeerde partijen gevonden worden. Daar zie ik Graham niet op in gaan, maar open source maakt het ook voor de kwaadwillenden gemakkelijker om aanvalsvector in code te vinden.

En hij schrijft ook terecht dat je alleen zekerheid hebt als je de code zelf compileert. Als een andere de code compileert, weet je nooit of het van deze zelfde source gecompileerd is.
29-07-2014, 15:46 door Anoniem
Deze meneer lult uit z'n nek. Jammer joh.

Grote bedrijven die "miljarden" uittrekken voor "bruikbaarheidsstudies"? En toch komt redmond keer op keer met "oplossingen" die in het Amerikaans als "turkeys" worden betiteld. Daarbuiten, ja, ze luisteren echt wel naar "de klant", mits het om klachten van fortune 500 bedrijven gaat. Voor jou als eindgebruiker? Ha ha, grapjas.

Niet dat open source veiliger moet zijn dan closed source, dat is (terecht aan te merken als) wensdenken, maar wel dat problemen makkelijker opgelost kunnen worden, en ook vaker worden. Daar zijn ook wel cijfermatige aanwijzingen voor te vinden. En dat argument van betalen dan? Nou, er zijn zat open source consulting bedrijfjes waar je mensen kan inhuren om een probleem op te lossen. Omdat ze op open source kunnen bouwen kunnen ze vaak heel goedkoop op maat gemaakte oplossingen leveren, en code reviews doen ze net zo graag tegen betaling. Omdat de broncode open is, kun je dat als willekeurige gebruiker ook veel makkelijker doen dan, oh, windows laten doorlichten.

Je kan dan wel naar heartbleed gaan wijzen als zou het het failliet van veiligheid in alle open source zijn, maar dat is nogal grandioos een enkele anecdote tot algemene bewaarheid verheffen. Er zijn genoeg redenen aan te nemen dat het niet altijd overal zo zal gaan. Wel is het goed op te merken dat het hier zo gegaan is en dan uitzoeken waarom dan. Maar dat doet deze meneer niet. Hij gooit gewoon maar met modder.

Nou, als we zo gaan beginnen. Zo was daar windows vista, die een compleet nieuwe netwerkstack zou hebben. Dat kon je goed merken doordat allerlei oude exploits als ping of death en vriendjes ineens weer werkten. Zo'n groot bedrijf met zoveel geld en het niet voorelkaar krijgen intern regressietesten te doen. Tut tut. Of hoe ze probeerden te "beveiligen", alweer die publieke beta releases van vista, waar je wel zeven keer "jahaaaaa doe het nouhouououou" moest klikken voordat je een enkel bestandje kon wissen. "Uit veiligheidsoverwegingen." Hoezoo bruikbaarheidsstudies? Alsof je zegt "nee meneer u moet wel al die irritante popupjes blijven wegklikken want ze hebben miljarden gekost om uit te vogelen!"

Maargoed, zelfs z'n steek onderwater naar jabber* is gebaseerd op aannames die ik eigenlijk een expert onwaardig vind. Zijn argument is dat "iedereen weet" dat open source veiliger zou zijn, terwijl tegelijkertijd "iedereen weet" dat de gebruikte programmabibliotheek die "iedereen gebruikt"** om jabber te spreken een zooitje zou zijn. Want je kan er in kijken. Dus is closed source, waar je dus niet in kan kijken, per definitie beter. Ziet de beste man nou echt niet dat hij zich blind zit te staren op een enkel aspect wat voor de meeste mensen maar een bijzaak is?


Mijn conclusie is dan ook dat deze schrijverlaart lang zo experterig niet is.

* Niet dat ik zo'n fan ben van jabber, integendeel. Maar dat is het punt niet.
** Pertinent onwaar. Daarbij, puntje open specificatie, zodat je niet afhankelijk bent van een enkele open danwel gesloten implementatie.
29-07-2014, 15:46 door dutchfish
Heh, zie ik dat nou alleen?

Ik dacht dat de controle van closed source neer komt op reverse engineering, althans wil je dit goed doen als het gaat om security. Vergelijk ik het gemak van het doorlichten van open source, dan wil ik de rekening niet betalen voor het doorlichten van closed source!

Bovendien kun je dat met iedere volgende patch dit opnieuw gaan doen. Daar wordt met geen woord over gerept in dat dummy verhaal van closed source zou veiliger zijn.

Lijkt me onnodig om te vertellen dat ook open source gecontroleerd moet worden met een security bril op.

Jammer genoeg vormt security vaak nog steeds de laatste regel op de begroting. En daarin verschilt bij de begroting closed source niet veel van open source.

De verwarring ontstaat dat de meeste mensen abusievelijk aannemen dat alles in open source, gratis is, inclusief het werk. Dat is bij security zeker niet het geval.

Mijn 2 centen
29-07-2014, 15:55 door Anoniem
Door Briolet: En ik denk dat Graham gelijk heeft dat je niet per definitie een van beiden als veiliger kunt beschouwen.
Dat is inderdaad de zaken te naïef voorstellen. Ik zie hem vooral op "de open source ideologie" inhakken, iets wat zelfs binnen de open source de zaken veel te zwart/wit voorstelt. Er is namelijk niet maar een enkele ideologie. Dat is dus niet erg constructief. Het is dan ook niet een erg constructief stuk, maar vooral flamebait.

En hij schrijft ook terecht dat je alleen zekerheid hebt als je de code zelf compileert. Als een andere de code compileert, weet je nooit of het van deze zelfde source gecompileerd is.
Zoek eens op "reflections on trusting trust" en lees dat stuk.

De conclusie is dat je het nooit helemaal zeker weet, tenzij je de hele toolchain zelf geschreven hebt en ook je eigen chips ontworpen en zo verder. Er is overigens recenter werk dat hier verificatie in toelaat, er wordt dus wel aan gewerkt.
29-07-2014, 15:56 door Anoniem
Door SPlid:
Door Anoniem: Appels, Peren ?!

Begrijp niet helemaal wat je met bovenstaande bedoeld, Robert maakt een vergelijking tussen open source en closed source en komt tot de conclusie dat opensource helemaal niet veiliger is in vergelijking tot closed source. Hij poneert hiermee trouwens ook niet dat closed source wel veilig is ondanks het feit dat er "betaalde" ogen naar kijken .

Hij bestrijd hier alleen maar de "mantra" dat open source veiliger is in vergelijking met closed source

Hij bestrijdt de mantra dat het veiliger is omdat er meer mensen naar kunnen kijken. Hij bestrijdt niet dat sommige code-analyses hebben aangetoond dat bepaalde grote OSS pakketten veiliger zijn dan vergelijkbare CSS pakketten.

Peter
29-07-2014, 16:32 door Mysterio
Door Anoniem: Deze meneer lult uit z'n nek. Jammer joh.

(..)

Mijn conclusie is dan ook dat deze schrijverlaart lang zo experterig niet is.

Ik snap niet waar jij je zo druk over maakt. Blijkbaar zit er ergens een Microsoft frustratie bij jou, maar dat is niet perse waar dit artikel over gaat. Robert stelt helemaal niet dat alle Closed Source veiliger is dan Open Source, maar dat er te snel wordt aangenomen dat Open Source de garantie is dat er duizenden experts dagelijks naar kijken en het dus veilig is. Er zijn voorbeelden van beroerd geschreven open source waar geen hond naar heeft gekeken behalve de programmeur. En er is nauwelijks sprake van enige aansprakelijkheid wanneer daar schade door ontstaat.

Dat daar gelaten ben ik nog steeds fan van Open Source, al is het alleen vanuit een zeker idealisme. Ik heb er ook geen enkel probleem mee dat er bedrijven zijn die willen verdienen aan hun producten. Daar worden we namelijk uiteindelijk allemaal beter van in onze kapitalistische maatschappij.
29-07-2014, 17:10 door Anoniem
goh goh, er is in het stuk nergens iets genoemd over bepaalde bedrijven, het gaat enkel om de dogma's.
En het benoemde gevaar: "iedereen weet dat het veilig is, dus hoef je er zelf niet over na te denken" is zeker reeel.
Wie kent niet iemand die een vraag di mogelijk discussie oproept over security op die manier dood gemaakt heeft?

Als je het over testen van closed software hebt, dat is een compleet vakgebied. Dat het intern gedaan wordt met NDA's betekent dat daar broncode wel degelijk nagekeken mag worden, white box testen). Het black box testen als ideaal heeft als nadeel dat alle mogelijke te testen combinaties vreselijk uit de hand kan lopen.
Schrijf de uitkomst van 70! eens op. Dat is aantal mogelijke volgorde combinaties van 70 gevallen.
30-07-2014, 00:13 door Paul1983 - Bijgewerkt: 30-07-2014, 00:21
ik zou er eerder van uit gaan dat Closed-source veiliger zou zijn, simpelweg omdat hackers minder makkelijk in de code kunnen rond neuzen op zoek naar lekken waar ze misbruik van zouden kunnen maken. Het is maar net wat voor draai je aan het artikel geeft. Dit artikel is zo te lezen ten nadelen van de open-source geschreven.
30-07-2014, 02:06 door Markcortbass
@Paul1983
ik zou er eerder van uit gaan dat Open-source veiliger zou zijn, simpelweg omdat hackers (experts, hobbyisten en bedrijven ,etc) makkelijk in de code kunnen rond neuzen op zoek naar lekken waar ze misbruik van zouden kunnen maken.

De lekken in gesloten software is hetzelfde uitstel op executie. Als een lek in opensource software is ontdekt, wordt het meestal veel sneller gefixt dan met gesloten software.

Opensource is geen garantie voor 100% lekvrije software. Het is een middel om hiernaar te streven.
30-07-2014, 08:17 door Anoniem
@Markcortbass Je denkfout is dat alleen idealisten uit eigen beweging op eigen kosten de code gaan zitten nakijken.
Het argument ertegen is dat het veel lucratiever is gevonden fouten aan de hoogste bieder te verkopen om voor eigen gewin uit te buiten. Dat snel verbeteren heeft ook tot nieuwe en soms ernstigere lekken geleid.

Die kracht is helaas veel sterker dan het ideaalbeeld. Juist dat komt nu van alle kanten vaak naar boven.
30-07-2014, 10:40 door Anoniem
Als je een samenleving creërt waar vorm belangrijker is dan inhoud, is dat logisch dat mensen meer op gevoel te KUNNEN controleren gaan dan het werkelijk doen, vooral niet jezelf voor paal zetten door dat achteraf te constateren, logischerwijs, en falen dat te duiden.

We zien toch ook dat we liever leiders hebben die kunnen dansen voor de camera en willen vertellen wat wij willen horen dan WERKELIJK ons belang behartigen?

We hebben toch ook liever lust dan liefde?

We puberen toch liever dan volwassen worden?

Liever beschuldigen /stellen dan vragen stellen?

Liever obscurity than real security?

Liever voordelen dan nadelen?

Liever consumeren dan werkelijk identiteit?

En overigens dikke bullshit allemaal;

de kans om mijn eigen middelen aan te kunnen kijken levert ALTIJD meer controle mogelijkheden en dus veiligheid dan closed source, niet alleen qua inbraak of oneigenlijk gebruik.

Voorbeeld, de kans voor sterke encryptie is sterker dan tijdelijk gebruik van zwakke wachtwoorden.

Zie je, bullshit artikel dus voor propagatie closed source en internet netneutraliteit nog even voor ons uit te schuiven totdat cashflow in omzetgarantie verzadigd is NIET voor de grote meerderheid, nee voor de select beetje wat uberhaupt nog van geniet.
30-07-2014, 11:57 door Anoniem
FUD-alert
30-07-2014, 13:59 door Anoniem
Laten we ALLE open source vergelijken met ALLE closed source. Want door die honderdduizenden miljoenen die Microsoft investeert (want hey: closed source, niet voor de eer, maar voor 't geld!) om de veiligheid te garanderen, zitten er ook geen bugs en lekken in de software van Microsoft.
Meneer Graham neemt aan dat alle closed source software security audits heeft, en alle open source software dat niet heeft. Het zou in veel gevallen net zo goed andersom kunnen zijn, er zijn genoeg bedrijven die open source ontwikkelen en budget hebben voor dat soort fratsen, net zo goed als er bedrijven zijn die closed source software maken die geen budget, zin, of gewoon te karig zijn om een security audit te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.