Open-sourcesoftware laat iedereen toe een kijkje onder de motorkap te nemen en wellicht beveiligings- of functionaliteitsproblemen op te lossen. Maar men kan ook backdoors introduceren die soms jarenlang onopgemerkt blijven, volgens een onderzoek uit 2022, gepubliceerd op het 31e USENIX Security Symposium.
Open-sourcesoftware heeft zijn oorsprong in de jaren vijftig; pas begin jaren tachtig werd software in de VS als auteursrechtelijk beschermbaar beschouwd. Het gevolg was dat veel leveranciers die voorheen broncode als onderdeel van hun producten leverden, daarmee stopten. Gedurende de jaren tachtig en het begin van de jaren 2000 zagen sommige softwarebedrijven, zoals Microsoft, open-sourcesoftware als een soort existentiële bedreiging voor hun bedrijf, voordat ze deze in de jaren 2010 omarmden.
Vandaag promoot Big Tech steeds meer publiek-private samenwerking voor de beveiliging van open-sourcesoftware. In 2022 organiseerde het Witte Huis een topconferentie over de beveiliging ervan, mogelijk als gevolg van de wereldwijde exploitatie van kwetsbaarheden in open-sourcesoftware. Onlangs kondigde CISA de publicatie van een beveiligingsroutekaart voor open-sourcesoftware, waarmee het de erkenning benadrukte van het belang van open-sourcesoftware in het technologie-ecosysteem en zijn inzet om dit te beveiligen.
Closed-source softwarebedrijven hebben ook de mogelijkheid om iemand in te zetten om software bij te werken als problemen zich voordoen. Open source is meer afhankelijk van massa’s vrijwilligers om problemen op te lossen zodra die zich voordoen. Dit staat bekend als de wet van Linus: “Is er voldoende aandacht, dan zijn alle bugs oppervlakkig.” Maar het is moeilijk om vrijwilligers bijeen te krijgen en ze te dwingen om de dagelijkse sleur van bugfixes uit te voeren – het minder glamoureuze deel van de beveiliging – zodat updates soms achterwege blijven. Dit zou echter veranderen: bugbounty-programma’s aangeboden door Google en Huntr zijn een manier om geld te verdienen door het vinden en oplossen van kwetsbaarheden in open-sourcesoftware.
De realiteit van moderne software ligt daar tussenin – daar veel closed-sourceprojecten vaak afhankelijk zijn van klodders open-source ‘scaffolding’-software om de basis te verzorgen voor de geheime saus erbovenop wordt gegoten. Het kan zinvol zijn om niet helemaal opnieuw een e-mailapp te ontwikkelen om administratieve notificaties uit te voeren: er zijn goed geteste open-sourceprojecten die dit aankunnen.
Sommige bedrijven, meer op open source georiënteerd, zijn wel actief bij open source softwareprojecten die zij belangrijk vinden. Omdat ze commerciële klanten hebben, stellen hun inkomsten hen in staat iemand in dienst te nemen die als taak het oplossen van bugs heeft.
Maar deze samenloop van krachten kan nog steeds problemen als Log4j-kwetsbaarheden veroorzaken. Deze kunnen de infrastructuur ondermijnen en een backdoor installeren, ongeacht het product open, gesloten of iets daartussen is.
Een bijkomend effect van open source-software: het helpt gemeenschappen op gang te brengen die communicatiesoftware veilig willen doen werken, omdat ze niet alles volledig opnieuw moeten opbouwen om de cryptografie goed te krijgen.
Dat wordt gedaan door sommige populaire privacybeschermende softwareprojecten, zoals Proton en Signal, met een solide reputatie om zaken veilig en privé te houden.
De auteurs van Signal nodigen iedereen uit om hun code te herzien, daar persoonlijke berichtenuitwisseling een belangrijke functie is voor de samenleving, en beveiligingsmensen zijn juist hierop gefocust, omdat een kwetsbaarheid of cryptografische zwakte verstrekkende gevolgen kan hebben.
Proton, in Zwitserland gevestigd, startte met superveilige e-mail en breidde vervolgens uit naar andere diensten rond het beschermen van de identiteit van gebruikers. Dit is een andere belangrijke functie voor de samenleving, met zware gevolgen als het verkeerd gaat.
De meest gebruikte closed-source software kan jarenlang kwetsbaarheden bevatte, zoals CVE-2019-0859. Het werd door Kaspersky Lab ontdekt en is een ‘use-after-free’-kwetsbaarheid die tien jaar lang in Microsoft Windows-besturingssystemen aanwezig was, van Windows 7 tot Windows 10 voor desktop, en Windows Server-versies 2008 R2, 2012, 2012 R2, 2016 en 2019.
Closed-source software is niet veiliger dan open source. Het gaat om het proces waarmee software wordt ontwikkeld en oplossingen voor kwetsbaarheden worden geïmplementeerd. Organisaties zouden zich moeten concentreren op de betrouwbaarheid van deze oplossingen en de snelheid waarmee men ze kan implementeren en niet op het type softwarelicentie.
Het belang is hoe responsief de gastorganisatie is ten opzichte van de bredere beveiligingsgemeenschap. ESET draagt aanzienlijk bij aan het MITRE ATT&CK;® framework en biedt tal van andere beveiligingshulpmiddelen die vaak gratis of open source zijn.
In de hybride wereld van software, bijna altijd een mix van open- en closed-sourcesoftware, wordt dat de lakmoesproef: staat het bedrijf of de organisatie open voor suggesties en bijdragen en investeert het in de beveiligingsgemeenschap. En hoewel perfecte beveiliging ongrijpbaar zal blijven, kunnen geweldige teams met een goede reputatie zeker helpen.