Secure code, (niet) kijken, kijken, en niks doen..
Een van de grote voordelen van open source software is dat iedereen, zelfs u, de broncode kan controleren en dus zal, via statistische logica, de kans dat een bugje snel wordt gevonden, naar één stijgen – als genoeg mensen daadwerkelijk naar de code kijken nu ze dat kunnen. En dan worden we toch verrast door juist zo’n programmeerfoutje à la Heartbleed, met mondiale implicaties. Natuurlijk, plots bleek dat niemand eigenlijk in de gaten had welke open source software in gebruik is, waar en wanneer door wie, in de interne infrastructuur of buiten op ‘het’ Internet.
Het probleem is groot, heel groot
Dus bleken alle grote wereldwijd opererende softwarereuzen te vertrouwen op stukjes open source software die werd onderhouden door letterlijk een handvol vrijwilligers met een budget dat veel kleiner is dan een paar seconden van de tijd van al die bedrijven hun CEO’s. En bleek dat sommige versies van die stukjes dus niet waren gecontroleerd met een diepgang die uit risico-overwegingen nodig zou zijn. Zeker niet gezien het wijdverspreide gebruik dat het risico voor de samenleving groot zou maken. Verwachtten we niet stilzwijgend dat de softwareleveranciers dat voor ons zouden doen voordat ze (of we?) de wereldwijde infrastructuur bouwden en vernieuwden? Hoe zou dat in zijn werk moeten gaan, hoe zoiets te organiseren binnen die zeer grote, zeer ‘for-profit’ bedrijven? Wat wanneer (niet als) de wereldwijde infrastructuur niet in één keer was samengesteld maar organisch was gegroeid en gebouwd met oh zo veel beetje-zwarte dozen van allerlei grootte ..? Virtualisatie en ‘cloud’ maken het plaatje nog abstracter. Met dito toename van de risico’s...
Het Bystander Effect
Maar erger nog, er bleek dat ‘we met z’n allen’ lijden aan het ‘Bystander Effect.’ Iemand ligt in het water, in de problemen, en we staan er allemaal bij en doen niets omdat onze psychologie ons onbewust doet besluiten de massa te volgen. Ja, er zijn verhalen van die enkelingen die hier tegenin gaan en juist wel in het water springen en redding brengen – maar er zijn ook verhalen waar die helden niet opduiken.
Dus nu blijken er ook in de open-sourcewereld te weinig vrijwilligers te zijn, met minder dan verwaarloosbare budgetten, die opspringen en wél het moeizame werk van code inspection doen. Dat betekent dat er dus ook een groot aantal onder ons is, bijna iedereen, die de andere kant heenkijkt, ons niet meer bewust wil zijn, en alleen maar ons procedureel dichtgetimmerde en afgekaderde 9-tot-5 werk wil doen. Dat is lijden aan het Bystander Effect, toch?
Op techniek kun je vertrouwen, toch?
En, erger nog, tot nu toe hebben we wat dit betreft alleen de ergste missers vermeden, bijvoorbeeld met stemcomputers. Hoe op het kantje was het hier niet waar iedereen zomaar voetstoots aannam dat de programmering wel juist zou zijn en dat alleen maar “omdat er toch vast wel iemand naar gekeken zal hebben, toch ..!?” Terwijl ook in dit geval een paar zonderlingen (?) daadwerkelijk met zwaktes in de protocollen op de proppen kwamen. Maar toch, ... als we steeds meer afhankelijk worden van ‘machines’, startende met stemcomputers maar bewegende naar complexe combinaties van mens-machine-interfaces en mens-onafhankelijke big-dataanalysemachines met software-defined-everything, het Internet of Things en autonooom opererende bewapende drones... waar is de controle dan nog?
Wat kunnen we samen doen?
Zal een nieuwe push voor security[1] te weinig, te smal gericht en van te korte duur blijken te zijn? Als we het weer overlaten aan ‘anderen’, met hun eigen lange-termijnbelangen die waarschijnlijk niet de onze zijn, en blijven we onder invloed van het Bystander Effect schuldig door nalatigheid.
Maar ja, nogmaals, hoe krijgen we de boel georganiseerd ..!? Gaarne uw suggesties.
[1] http://readwrite.com/2014/04/24/open-source-linux-foundation-core-infrastructure-initiative-google-amazon-facebook-ibm-microsoft
Door: Jurgen van der Vlugt, IT security consultant en IS auditor bij Maverisk, in samenwerking met cqure.nl
