211service.com
Waar ligt de volgende Heartbleed-bug op de loer?
Na wijdverbreide paniek en het veranderen van wachtwoorden te hebben veroorzaakt, is de Heartbleed-bug grotendeels uit het nieuws verdwenen. Toch wordt in de computerindustrie nog steeds gedebatteerd over de implicaties van de ontdekking. De grootste zorg voor beveiligingsexperts is hoe ze andere fouten kunnen voorkomen die op de loer liggen in de fundamenten van internet.
De Heartbleed-bug werd eerder deze maand ontdekt in een stukje software genaamd OpenSSL die veel wordt gebruikt om een veilige verbinding tussen webbrowsers en servers tot stand te brengen door de betrokken cryptografische sleutels te beheren. OpenSSL is een open source-project, wat betekent dat de onderliggende code samen met de software wordt gepubliceerd. Ook wordt het, net als veel andere open-source-inspanningen, onderhouden door een kleine groep vrijwillige programmeurs (zie The Underfunded Project Keeping the Web Secure).
Het probleem wordt erkend door grote softwarebedrijven die afhankelijk zijn van inspanningen zoals OpenSSL. Vorige week hebben de Linux Foundation , dat ondersteuning biedt voor het populaire Linux-besturingssysteem, lanceerde een poging genaamd de Kerninfrastructuurinitiatief om kleine open source projecten te ondersteunen. Bedrijven zoals Google, Amazon, Facebook, IBM, Intel, Cisco en Dell hebben tot nu toe meer dan $ 3 miljoen toegezegd aan de inspanning. Een stuurgroep zal proberen de open-sourceprojecten te identificeren die financiële steun het hardst nodig hebben.
Het probleem met open source is dat je het 'free rider'-probleem hebt, zegt Chris Wysopal, een bekende computerbeveiligingsexpert en chief technology officer en medeoprichter van Veracode , een beoordelingsbureau voor applicatiebeveiliging. Mensen en bedrijven die het gebruiken en er enorme waarde uit halen, geven niet veel geld om het draaiende te houden.
Zelfs drie weken nadat de bug is ontdekt, zijn sommige achterblijvende bedrijven nog steeds bezig met het updaten van servers, het installeren van nieuwe cryptografische certificaten en het opdragen van gebruikers om hun wachtwoord opnieuw in te stellen. Meer verontrustend voor experts als Wysopal is dat andere fundamentele componenten van internet, zoals OpenSSL, kleine open-sourceprojecten zijn. En het kan moeilijk zijn om te bepalen welke de middelen missen die nodig zijn om hun code rigoureus te controleren op beveiligingsproblemen.
Voordat de Heartbleed-bug werd ontdekt, hadden maar weinigen gehoord van OpenSSL of de 11 ontwikkelaars die veel van hun tijd aan het project besteden. De OpenSSL Software Foundation , dat de commerciële contractering voor de organisatie verzorgt, heeft slechts één fulltime ontwikkelaar in dienst. Het ontving vorig jaar in totaal $ 2.000 aan donaties en het heeft nooit meer dan $ 1 miljoen aan inkomsten ontvangen voor zijn advies- en ondersteuningsdiensten.
Er zouden minstens een half dozijn fulltime OpenSSL-teamleden moeten zijn, niet slechts één, die zich kunnen concentreren op de zorg en het voeden van OpenSSL zonder commercieel werk te hoeven doen, schreef Steve Marquess, de officiële fondsenwerver en zakelijke contactpersoon voor de OpenSSL-software Fundament, in een blogpost kort nadat Heartbleed werd onthuld. Als u een besluitvormer van een bedrijf of een overheid bent die er iets aan kan doen, denk er dan eens over na. Alsjeblieft.
Marc Maiffret, Chief Technology Officer bij Meer dan vertrouwen , een beveiligingssoftwarebedrijf, zegt dat andere open-sourceprojecten met een soortgelijk probleem worden geconfronteerd. Mensen gaan ervan uit dat alleen omdat iets open source is, er een magische inspanning is die doorgaat om bugs te vinden en het veilig te maken. Maar het begint meestal met een paar mensen, misschien wordt het populair, en eindigt dan … met een paar mensen.
Wysopal van Veracode zegt dat het belangrijkste probleem is dat er geen manier is om het belang van verschillende stukjes internetinfrastructuur te meten: als iemand een wijdverbreide aanval op veel sites zou willen doen, welke componenten worden dan veel gebruikt en bevinden zich aan de voorkant van het aanvalsoppervlak?
De uitdaging om te voorspellen waar grote kwetsbaarheden kunnen ontstaan, wordt nog verergerd door het feit dat internetprogrammeurs hun code steeds vaker bouwen met behulp van een reeks verschillende tools. In een verslag vorig jaar uitgebracht, ontdekte een bedrijf met de naam Aspect Security dat 26 procent van de bibliotheken die werden gedownload voor gebruik in applicaties bekende kwetsbaarheden had. Het probleem is dat er zoveel componenten zijn waarvan de softwarestack afhankelijk is, zegt Jeff Williams, medeoprichter en CTO van Aspect. Het internet is een hooiberg vol naalden.