image

Stallman: gesloten software bevat opzettelijke backdoors

vrijdag 26 september 2014, 13:17 door Redactie, 11 reacties

Vrije en opensourcesoftware mag dan kwetsbaarheden bevatten die misschien lange tijd onopgemerkt blijven, het biedt gebruikers meer bescherming dan gesloten software waar opzettelijk backdoors aan zijn toegevoegd, zo zegt Richard Stallman, oprichter van het GNU Project.

Hij reageert tegenover de Guardian op het recent ontdekte Bash-lek. Volgens Stallman zal het lek op de lange termijn slechts een "stipje" zijn. "Het zal één van de duizenden bugs zijn waar mensen misbruik van maken. Als gebruikers echter het programma controleren kunnen ze features toevoegen en bugs verhelpen." Volgens Stallman kunnen er in elk programma bugs zitten. "Maar een gesloten programma zal waarschijnlijk opzettelijke bugs met kwaadaardige functionaliteit bevatten."

Opensource

Eerder liet beveiligingsexpert Robert Graham weten dat de reeks lekken in populaire opensourcesoftware aangeeft dat maar weinig mensen de broncode ook daadwerkelijk bekijken. Graham krijgt bijval van professor Alan Woodward, beveiligingsexpert aan de informaticaopleiding van de Universiteit van Surrey. "Opensourcefans zeggen dat dit de beste aanpak is, omdat iedereen de code kan bekijken. Helaas gebeurt dat niet en daarnaast is veel oude code in ondoorzichtige talen zoals C geschreven en is niet te vergeten niet goed gestructureerd."

Volgens Woodward is het als het uit elkaar halen van 25-jaar oude spaghetti, het is dan ook geen verrassing dat de code van dit soort programma's niet vaak wordt gecontroleerd. Dit soort lekken, zoals in Bash en OpenSSL, worden dan ook pas gevonden als iemand een bepaald effect opmerkt, niet omdat de code wordt langsgegaan. Woodward waarschuwt dat dit probleem moet worden opgelost, omdat er anders nog meer van dit soort oude problemen zullen komen bovendrijven.

Reacties (11)
26-09-2014, 13:46 door Anoniem
En dus zullen gemotiveerde kwaadaardige groeperingen ijverig open source programma's gaan doorspitten, op zoek naar kwetsbaarheden die ze stilzwijgend kunnen uitbuiten. (want met gesloten software gaat zoiets niet zo makkelijk!)
Terwijl de rest heel naïef denkt dat ze met open source veilig zijn, omdat open source software "onder streng toezicht staat van experts". (in de veronderstelling dat deze "experts" altijd aan hun kant staan... maar hoe weet je dat?)
26-09-2014, 14:02 door Anoniem
"Maar een gesloten programma zal waarschijnlijk opzettelijke bugs met kwaadaardige functionaliteit bevatten."

Stevige uitspraak... Ik vind dat kort door de bocht, zo kan ik het ook:

Open-source moet wel malware zijn omdat er anders geen verdienmodel is.
En als er écht geen verdienmodel is, prima, maar dan is de software automatisch amateuristisch.
Etc.

Zorg er gewoon voor dat die bugs er uit gehaald worden, ipv een ander af te zeiken, knuppel.
Niets tegen GNU hoor, alles behalve, maar wel tegen zulke opmerkingen.
26-09-2014, 14:08 door Briolet - Bijgewerkt: 26-09-2014, 14:09
daarnaast is veel oude code in ondoorzichtige talen zoals C geschreven

En als je geen Nederlands kent is dat ook ondoorzichtig voor de lezer. Maar dat betekent niet dat Nederlands ondoorzichtig is.

C is juist heel doorzichtig omdat je alles in eigen hand hebt. (i.t.t. iets als JavaScript, waar je de broncode moet bekijken om te zien hoe hij iets gaat interpreteren en hoe geheugen toegewezen wordt.)
26-09-2014, 14:54 door Anoniem
Door Briolet:
daarnaast is veel oude code in ondoorzichtige talen zoals C geschreven

En als je geen Nederlands kent is dat ook ondoorzichtig voor de lezer. Maar dat betekent niet dat Nederlands ondoorzichtig is.

C is juist heel doorzichtig omdat je alles in eigen hand hebt. (i.t.t. iets als JavaScript, waar je de broncode moet bekijken om te zien hoe hij iets gaat interpreteren en hoe geheugen toegewezen wordt.)

Helemaal met U eens.
Als het niet in COBOL of BASIC is geschreven is het ineens paniek.
26-09-2014, 15:31 door Anoniem
Vrije en opensourcesoftware mag dan kwetsbaarheden bevatten die misschien lange tijd onopgemerkt blijven, het biedt gebruikers meer bescherming dan gesloten software waar opzettelijk backdoors aan zijn toegevoegd, zo zegt Richard Stallman, oprichter van het GNU Project.

Wanneer je dit leest, suggereert Stallman dat in closed source software altijd een backdoor zit. Dat is een gevaarlijke uitspraak, want die impliceert kwade bedoelingen. Natuurlijk kan in closed source software een backdoor zijn toegevoegd, maar er zijn in het verleden ook genoeg mensen geweest, die een programma hebben geschreven met closed source. Soms is dat zelfs nodig om de data veilig te houden.

Wanneer je b.v. een boekhoudpakket schrijft, wil je niet, dat de gebruikers kunnen zien hoe de data versleuteld en verdeeld is. Kunnen ze dat wel, dan kunnen ze makkelijk frauderen, dus je zult de boel willen beveiligen op een moeilijk te vinden manier. Een backdoor wil je juist niet, want dan is fraude nog steeds mogelijk.
26-09-2014, 20:27 door Anoniem
Let op: dit artikel geeft je een sterk vertekend beeld van de uitspraak. Ik raad iedereen aan op de originele post te lezen, en niet deze vervormde versie.
http://www.fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability

Stallman geeft volgende conclusie: "the solution is to put energy and resources into auditing and improving free programs".
26-09-2014, 22:55 door [Account Verwijderd]
[Verwijderd]
27-09-2014, 10:34 door Anoniem
Door Anoniem:
Wanneer je b.v. een boekhoudpakket schrijft, wil je niet, dat de gebruikers kunnen zien hoe de data versleuteld en verdeeld is. Kunnen ze dat wel, dan kunnen ze makkelijk frauderen, dus je zult de boel willen beveiligen op een moeilijk te vinden manier. Een backdoor wil je juist niet, want dan is fraude nog steeds mogelijk.

Ik zie het al, daar heb je geen kaas van gegeten...
Frauderen met een boekhouding als je source van het pakket hebt, ahum.
27-09-2014, 14:04 door Anoniem
Verschil met Closed Source en Open Source:

Closed Source :

#1 je kunt niet zien hoe slecht het geschreven is (ook Windows is voor een groot gedeelte uit C opgetuigd)
#2 je kunt het niet aanpassen
#3 bugs blijven jarenlang verborgen
#4 je kunt het niet controlleren
#5 je bent afhankelijk van de leverancier of die je #A op de hoogte brengt van kwestbaarheden (slechte PR) #B of die (nog) een patch uitbrengt (denk aan XP) #C of die patch doet wat hij moet doen en niet stiekem meer, of per ongeluk meer

Open Source :

#1 als je je druk kunt maken over slechte C, dan kun je het ook bekijken en aanpassen
#2 je kunt het aanpassen
#3 bugs worden sneller zichtbaar bij (massale) misbruik
#4 je kunt het controlleren
#5 je kunt zelf een mitigerende strategie bepalen omdat je weet hoe de vulnerability werkt en hoe de software werkt.
#6 patches zijn vrij snel verkrijgbaar (laatste 3 grote lekken in open source waren binnen 3 dagen gefixed, laatste 3 grote lekken in closed source (welke bekend zijn gemaakt) gemiddeld 3 maanden).

Nou, dan weet ik wel wat ik zou kiezen...
28-09-2014, 00:33 door Briolet
Door Anoniem: Nou, dan weet ik wel wat ik zou kiezen...

Je vergeet punt 7 bij open source

#7 Kwaadwillenden die een systeem willen aanvallen kunnen uitgebreid door de code heel lopen totdat ze een aanvalsvector vinden. Dat is veel efficiënter dan maar op goed geluk iets te proberen bij een 'black box'.
29-09-2014, 11:00 door Anoniem
De spaghetti is nu over de einddatum.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.