211service.com
Black Hat: er liggen waarschijnlijk meer bugs op internet op de loer
Gedurende een paar dagen in april leek de hele wereld internetbeveiliging zeer serieus te nemen. Een kritieke fout, genaamd Heartbleed, werd gevonden in software die door honderdduizenden websites wordt gebruikt, en de bug samen met zijn logo werd een mediaster.
Maar eind juni, iets meer dan twee maanden later, leek de poging om kwetsbare internetservers tegen Heartbleed te patchen tot stilstand gekomen, met meer dan 300.000 op internet. OpenSSL , het open source-project in wiens software de bug werd gevonden, heeft nog steeds niet de middelen die het zegt nodig te hebben om zijn code veilig te houden. Bovendien suggereert nieuw onderzoek dat de omstandigheden die Heartbleed tot zo'n grootschalig probleem hebben gemaakt, alledaags zijn.
Kymberlee Prijs van het beveiligingsbedrijf Synack en Jake Kouns, CEO van de non-profit Open Security Foundation , presenteerde donderdag de resultaten van een onderzoek naar het gebruik en de beveiliging van open source-bibliotheken. Ze benadrukten verschillende open source-bibliotheken die extreem veel worden gebruikt, maar een vlekkerige beveiliging hebben. Een fout in een van deze bibliotheken zou een vergelijkbare impact kunnen hebben als de koppige bug van april. Het zou absoluut opnieuw kunnen gebeuren met elke bibliotheek van derden, vertelde Price MIT Technology Review op de Black Hat-conferentie vorige week.
Wat echt de ogen opent, is dat bepaalde programma's of producten die op de markt zijn honderden van die bibliotheken kunnen bevatten, zei Kouns. Iedereen wordt nu blootgesteld aan dit systeemrisico.
Een van de bibliotheken die door Price en Kouns als een potentieel probleem worden aangemerkt, is de bron van Heartbleed, OpenSSL. Sinds Heartbleed zijn er verschillende andere fouten ontdekt in OpenSSL, waarvan sommige mogelijk gevaarlijker zijn dan de Heartbleed-bug, zei Kouns.
Er kan meer worden verwacht. Ondanks de publiciteitsboost van Heartbleed heeft OpenSSL nog steeds niet genoeg geld om dergelijke problemen aan te pakken. Na het incident voerde het project een evaluatie uit en schatte het dat er zes fulltime ontwikkelaars nodig waren om de software goed te onderhouden. Het geld dat is toegezegd door IBM, HP, Google en andere grote technologiebedrijven in de nasleep van de bug, was genoeg om slechts twee fulltime ontwikkelaars te betalen. Zelfs iets waar de moeders van mensen naar vroegen aan de eettafel, krijgt niet de ondersteuning die het nodig heeft, zei Price.
Een andere potentieel problematische bibliotheek is: FreeType , dat wordt gebruikt om lettertypen weer te geven, en is opgenomen in meer dan een miljard apparaten die zijn gemaakt door bedrijven als Apple, Google en Sony. Kouns en Price telden de afgelopen zeven jaar meer dan 50 kwetsbaarheden in FreeType. Een daarvan vormde de basis van een aanval genaamd Jailbreakme die het mogelijk maakte om op afstand iPhones over te nemen (zie Heb je een iPhone? Er is een app om dat te hacken).
Andere open source-bibliotheken die door het paar zijn gemarkeerd, zijn LibPNG, dat in honderden veelgebruikte apparaten en software wordt gebruikt als een manier om afbeeldingen weer te geven, en FFMpeg, waarop Apple, Google, Microsoft en Sony vertrouwen om video af te spelen.
De meeste van de veelgebruikte bibliotheken worden meerdere keren per jaar bijgewerkt met beveiligingsoplossingen, zegt Price. Maar het is niet eenvoudig voor software-engineers om al die updates bij te houden of zelfs welke versies van welke bibliotheken hun bedrijf gebruikt. En weinig bedrijven passen elke update van elke bibliotheek tijdig toe, zei Price. Vaker upgraden bedrijven de bibliotheken alleen wanneer ze een nieuwe versie van hun eigen product uitbrengen. Als je alleen updatet met elk van je releases, mis je waarschijnlijk enkele grote kwetsbaarheden, zei ze.
Sommige experts zijn van mening dat softwarebedrijven wettelijk aansprakelijk moeten worden gesteld voor beveiligingsproblemen in hun producten. Een optie die werd besproken onder leidinggevenden bij Black Hat was of investeerders de bevoegdheid zouden moeten hebben om externe audits van de code van een bedrijf op te roepen, waardoor een proces wordt uitgebreid dat al een standaard onderdeel is van due diligence voor fusies en overnames, zei Price.
Dan Geer, chief information security officer voor het investeringsfonds van de CIA In-Q-Tel , deed woensdag een radicalere suggestie in zijn Black Hat-keynote. Hij pleitte voor wetgeving die softwarebedrijven aansprakelijk stelt als beveiligingsproblemen in hun producten schade veroorzaken.
De enige twee producten die niet onder productaansprakelijkheid vallen, zijn religie en software, en software zou niet veel langer moeten ontsnappen, zei Geer. Hij suggereerde dat softwarebedrijven aansprakelijk zijn voor alle schade die optreedt als gevolg van fouten in hun software, maar dat bedrijven die hun volledige broncode beschikbaar stellen voor inspectie, alleen verplicht zijn tot restitutie als er schade optreedt.
Dat voorstel zou op felle tegenstand van de software-industrie stuiten en het is onwaarschijnlijk dat het aan kracht zal winnen. Price zei dat de meest praktische, zij het gedeeltelijke, oplossing voor nu is om het bewustzijn te vergroten van de risico's die gepaard gaan met bibliotheken van derden, en om tools te maken die het gemakkelijk maken om op de hoogte te worden gehouden van de nieuwste fouten en de pakketten bij te werken. We kunnen dit risico niet uitsluiten, dus we moeten het beheersen, zei ze.