Linux-stichting en grote tech-bedrijven willen OpenSSL-beveiliging opschroeven

Dat geldt toch altijd? Het moet eerst stuk voordat er geld voor beschikbaar is. Wel jammer, want dat helpt je continuiteit naar de maan, maar het kan soms niet anders. Aandacht = geld.

Als een niemand (behalve zij dit het uiteindelijk misbruikt hebben) al een domme fout kan vinden... wat gaat het dan zijn met zeer complexe algoritme fouten die de NSA er eventueel zou instoppen ?

Er zijn ook theorieën die zeggen dat het dieper gaat dan alleen de software, maar dat het encryptie algoritme een backdoor bevat.

In het kort:
Ze zeggen dat de random nummer generatie die gebruikt wordt om dingen te encrypten een wiskundige backdoor heeft. Het gaat om Elliptic Curve Cipher, deze gebruikt 2 punten op een curve die aangeleverd worden door de Amerikaanse overheid. Er wordt gezegd dat de relatie tussen deze punten bekend bij de overheid en daarmee de mogelijkheid hebben om encryptie te omzeilen.

Check een video Numberphile: http://www.youtube.com/watch?v=ulg_AHBOIQU

Ten eerste is OpenSSL geen protocol. Ten tweede: de meeste banken gebruiken geen OpenSSL

Accoord, maar het eerste punt is irrelevant; het gaat om regels code die niet voldoende/adequaat is gereviewed voor de toepassing in kwestie, en voor de schaal waarop het wordt toegepast.

Zelfs als er geen banken betrokken waren dan blijft het punt staan dat bedrijven als Google, Facebook, Yahoo, en Amazon de resources (programmeurs, $$$) en belang hebben bij het goed functioneren van deze code. Hun businessmodel drijft op het vertrouwen dat klanten hebben in hun diensten.

Je onderschat wat een taak code review is in tijd en daarmee kosten.

Dat een review veel tijd kost is me duidelijk, maar de Heartbleed bug heeft duidelijk gemaakt dat het voor toepassingen waar zoveel op het spel staat, en die zo universeel worden ingezet een essentieel punt is.

Interessante punten in de link naar de Truecrypt-review:
- Beloningen voor bug-bounties. Zoiets had in het geval van OpenSSL al lang geimplementeerd kunnen zijn. Bedrijven als Google hebben jarenlang gratis gebruik gemaakt van de gratis code. Iets wat gratis is kan je geen hoge eisen aan stellen.

- Het uitvoeren van een "professionele audit". Heeft OpenSSL een "professionele audit" gehad, en maakt dit wat uit? Wat zijn de protocollen en criteria waaraan een professioneel bedrijf een code-audit doorvoeren, en wat kan de Open-Source gemeenschap hiervan leren om op hetzelfde niveau te komen?

Hoe ga je om met updates? Ga je die elke keer van een langdurige review voorzien? Let op dat exploits toegevoegd kunnen worden door een combinatie van updates. Je zal dus elke update de gehele code opnieuw moeten reviewen. Dit krijg je niet op tijd af, waardoor je systemen achter zullen lopen en kwetsbaar zijn.

Wat je met updates, combinaties van updates etc doet kan je vastleggen in je review procedure. Bestem in een eerste review ronde welke andere delen van de code door een wijziging beinvloed worden en escaleer dat naar een volgende review-ronde. Het gaat om een gestructureerde aanpak die voor volgende reviewers/auditors te volgen is.

Oudere versies van OpenSSL waren niet kwetsbaar voor de Heartbleed bug, en daar waren/zijn ook nog veel bedrijven die hiervan gebruik maken. In dit geval ging het dus niet om achter lopen en kwetsbaar zijn, maar het implementeren van nieuwe niet-essentiele functionaliteiten.

In tegenstelling tot wat sommige open-source ontwikkelaars graag zouden zien is hun product vaak niet het middelpunt van iemand anders zijn of haar wereld. Implementeren en zonder gezeur (liefst onderhoudsarm) blijven werken zijn zaken die van belang zijn voor een organisatie.

Ik leg dan ook alle schuld bij bedrijven die zonder nadenken, en zonder betalen deze code gebruiken. Zoals ik al eerder schreef, het feit dat ze nu wel betalen is feitelijk een schuldbekentenis.


Wat dat betreft kan ik me hierbij aansluiten:

Die digitale Wirtschaft hängt substantiell von Open-Source-Entwicklungen ab, sie vertraut voll auf deren Funktionsfähigkeit - aber sie gibt offensichtlich nicht ausreichend Kapital, Arbeitskraft, Know-how zurück, um die notwendige Qualitätssicherung zu gewährleisten. Als würde Mercedes herumliegende, kostenlose Räder in seine Autos einbauen und dann zerknirscht dreinschauen, wenn die Reifen bei voller Fahrt platzen.

Heel veel mensen hebben naar de sourcecode kunnen kijken. In dit specifieke geval weten we niet meer dan dat één programmeur (Robin Seggelman) verantwoordelijk was voor het schrijven van de betroffen code, en dat één persoon (Stephen Henson) dit gereviewd heeft. Mogelijk waren het er meer, maar daar is formeel niks van bekend.

Bedrijven die ondanks miljardenomzet blind vertrouwen op een stuk software dat hun nul euro heeft gekost zijn dan m.i. nalatig.

Het feit dat deze bedrijven dat nu kennelijk wel doen zie ik dan ook als een erkenning van schuld.

Kostenaspect en code-kennis is voor de (o.a.) Googles van deze aarde geen probleem.

Als OpenSSL zo'n puinhoop is, is het des te meer onbegrijpelijk dat bedrijven die de middelen hebben hierop vertrouwen.

Resources cryptografie/programmeurs: lijkt me wederom voor bedrijven geen probleem. Sponsor de universitaire experts: masters, promovendi, post-docs om zo´n project gestructureerd aan te pakken (en pluk deze personen later weg voor je bedrijf).

Netcraft claimt 32% marktaandeel voor IIS

http://blogs.iis.net/erez...hare-for-web-servers.aspx

Statistieken zijn altijd gevaarlijk dus er zal vast wel een andere statistiek ergens anders zijn die wat anders beweerd, maar het is wel een feit dat IIS extreem gegroeid is de laatste 5 jaar onder de leiding van de man die net CEO geworden is.