Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Heartbleed: het gelijk van Jan Baan

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 9 mei 2014 10:00 uur

Open source is effectief voor de IT-professional, gevaarlijk voor de eindgebruiker en ideaal voor de dienstverlener.” De uitspraak is van Jan Baan en dateert van juli 2009. Destijds was Baan CEO van Cordys, het bedrijf dat hij in 2013 verkocht aan OpenText. De uitspraak die hij toen deed, is actueler dan ooit. Want: “De programmeerfout die aan Heartbleed ten grondslag ligt, was binnen open source onvermijdelijk.”

Het verhaal over Heartbleed begint bij Robin Seggelman, een Duitse programmeur uit Münster die al snel na het uitbreken van het lek in OpenSSL aan de internetschandpaal werd genageld. Uiteindelijk kreeg de Sydney Morning Herald de programmeur te pakken om hem op de man af te vragen hoe de fout in de code terecht was gekomen. Seggelman had aan OpenSSL zitten werken om nieuwe ‘features’ toe te voegen. En, ironisch genoeg, om bestaande fouten uit de code te halen. Bij het valideren van de code, zag hij één variabele over het hoofd. Zo simpel was het.

De nieuwe code werd gereviewed door ene Stephen Henson. Maar ook hij herkende de fout niet. Zo werd de code als onderdeel van een nieuwe release uiteindelijk gepubliceerd. In het gesprek met de Sydney Morning Herald noemt Seggelman de fout ‘triviaal’, maar erkent dat de impact “behoorlijk ernstig” is geweest. En dat is mild uitgedrukt. Want inmiddels duiken de verhalen op over het algehele principe van opensource-projecten. Zijn dergelijke projecten niet ontzettend gevaarlijk?

De website tomsitpro.com stelde de vragen openlijk: hoe risicovol is open source en moeten we open source nog wel blijven gebruiken zoals we dat nu doen? Achterliggende gedachte bij deze vragen is de opkomst en ongebreidelde groei van het Internet of Things. Je moet er tenslotte niet aan denken dat er dan dergelijke fouten in software terechtkomen, waarbij normale huis-tuin-en-keukenapparaten met elkaar via het internet in verbinding staan. De ramp is dan niet te overzien. Juist voor de verdere implementatie van het Internet of Things moet security het baken zijn voor de eindgebruiker: hij moet blind op software in de apparaten kunnen vertrouwen. Kan dat met open source?

Open source is van iedereen. Dat is de kracht van open source. Het is de stimulans voor innovatie. Jan Baan, bijna vijf jaar geleden: “De innovatieve kracht en snelheid van open source is een geweldig instrument voor it-professionals. Open source maakt hen effectiever.” Maar even verderop: “Uit eigen ervaring durf ik te stellen dat opensource-software die rechtstreeks door de eindgebruiker wordt geïmplementeerd uiteindelijk duurder is, moeilijker is uit te rollen en te beheren (deployable) en vaak ook veel minder veilig is. Vergelijk het met de pc van een tijdje terug. Mensen die er verstand van hadden, stelden hun eigen pc samen op basis van goedkope onderdelen. De gemiddelde gebruiker waagde zich daar niet aan. En tegenwoordig is de pc commodity geworden zodat vrijwel niemand meer zelf zijn computer bouwt. En wie denkt er aan om zijn eigen mobiele telefoon samen te stellen uit los verkrijgbare onderdelen?”

Inmiddels hebben we de modulaire telefoon van Google, maar dat kon Baan niet vermoeden. Hij had een punt. Ontegenzeggelijk. Heartbleed toont aan dat hij (deels) gelijk had. Open source is niet zonder risico. Erkent ook de gehele opensource-gemeenschap. Open source leidt aan het gebrek aan ‘diepe zakken’, stelt tomsitpro.com. Open source is allang geen nerdy hobby meer van een paar Microsoft-haters, maar een volwassen IT-stack waar toegewijde programmeurs hun vrije uren in stoppen. Om de software naar een hoger plan te tillen, is geld nodig. Geld voor bijvoorbeeld testen. “Heartbleed moet geen negatieve invloed krijgen op opensource-projecten, maar het is absoluut een wake-upcall.” Ondersteund door de oproep op heartbleed.com zelf: “De security-gemeenschap, inclusief wijzelf, moet leren hoe we deze onvermijdelijke menselijke fouten sneller kunnen herkennen. Ondersteun de ontwikkeling van veilige software en doneer aan het OpenSSL-project.”

Ivo, 9 mei 2014 10:17 am

Tja de al oude security by obscurity discussie.

Overigens is Heartbleed volgens mij een totaal verkeerd voorbeeld in dit verhaal.

Stel dat OpenSSL closed source was geweest dan was het ook gewoon mogelijk om de fout te vinden door simpel weg dingen te testen en het resultaat daarvan te bestuderen. Dus toegang tot de source code was helemaal niet nodig om dit te vinden.

Frank, 9 mei 2014 8:29 pm

Software zit nu eenmaal vol met fouten, alle programmeurs maken fouten en dat geldt ook voor reviewers. Alleen code generators maken geen fouten. Open source staat los van de kwaliteit van programmeren, vaak is het juist beter omdat velen nogal kritisch zijn op het uitvoeren van het werk.

De kunst is om fouten in software er ook uit weten te halen, dat is echter een vak op zich en vereist een denkwijze die principieel anders is dan hoe programmeurs werken. Code review is geen testen!Parallel daaraan moeten programmeurs leren om defensief te programmeren. Als er dan wat fout gaat is er een vangnet of waarschuwingsmechanisme. Dat leerden we vroeger nog maar tegenwoordige programmeurs weten meestal niet meer hoe dat moet en werken met bakken vol aan elkaar geknoopte libraries. Gevoel met wat de machine nu precies doet is er nauwelijks meer en dat vergroot het risico aanzienlijk.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.