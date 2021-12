Het is nodig om software van nature wantrouwiger te maken en van meer veiligheidsgordels te voorzien, zo stelt Dirk-Willem van Gulik, één van de oprichters van de Apache Software Foundation en één van de eerste ontwikkelaars van de Apache-webserver in een interview met het Financieele Dagblad.

Van Gulik was betrokken bij de grote kwetsbaarheid in Log4j. Apache werd door het Alibaba Cloud Security Team over het beveiligingslek ingelicht. "We overlegden snel met onze experts over de ernst en met onze researchers over een oplossing", vertelt hij aan het FD. "Het is niet eens een echte programmeerfout, meer een foute instelling van de software."

De medeoprichter van Apache coördineerde de bekendmaking en uitrol van de beveiligingsupdate. "We wilden het pas openbaar maken als er een "fix" klaarligt bij onze experts. Tegelijk wil je niet dat softwareleveranciers het lek met juridische trucs geheim houden. Of dat inlichtingendiensten, die zo'n lek gebruiken, het nog even stil willen houden."

Veiligheidsgordels

Volgens Van Gulik heeft het incident verschillende zaken duidelijk gemaakt, waaronder dat de expertise van commerciële cybersecurity-experts 'te wensen overlaat'. Verder pleit hij voor het inbouwen van meer veiligheidsgordels. "Als iemand een veiligheidsinstelling wil veranderen, moet de software vragen: "Weet je het zeker?“ En bij het antwoord moet niet staan ”Ja”, maar “Ja, ik weet dat ik dom ben en ik weet het nog steeds zeker"."

Daarnaast vindt Van Gulik dat software van nature wantrouwiger moet worden gemaakt. "Apache wordt gebruikt door banken. Die hebben een competente securityafdeling. Maar je ziet steeds vaker dat de beveiliging wordt uitbesteed aan de laagste bieder. Zo wordt het gevaarlijk. Dit moet echt een wake up call zijn. Daar wordt de wereld ook beter van."