Cybersecurity-maand: Veilig gebruikmaken van open source software

Open source besturingssystemen en software hebben veel voordelen. Zo is het vaak gratis en ook vaak sterk aan te passen naar persoonlijke smaak en voorkeur. Maar is open source eigenlijk wel veilig? En welke opties biedt open source je op het gebied van beveiliging?

Open source software en besturingssystemen, zoals Linux, worden steeds vaker gebruikt, ook in het bedrijfsleven. Het aantrekkelijkste is het feit dat de meeste software gratis is en het je daarmee een hoop geld scheelt. Open source houdt in dat alle programmeercode openbaar is en iedereen mee kan helpen met het ontwikkelen van het product. Een mooi gegeven, maar de vraag is hoe veilig deze software eigenlijk is.

Uit een rapport van Fortify Software uit 2008 blijkt bijvoorbeeld dat open source helemaal niet veilig is, alles behalve zelfs. Zo komt het vaak voor dat de makers van de software niet of veel te laat reageren op vragen en opmerkingen over de beveiliging. Voor het onderzoek testte Fortify Software elf softwarepakketten en de reacties van de makers op beveiligingsproblemen over een periode van drie maanden. In die tijd werden er 22.826 gevallen gevonden van cross-site scripting en 15.612 SQL injectie-issues. Fortify probeerde vervolgens de desbetreffende communities, die samen de software maken en onderhouden, te bereiken. Dit moest veelal via een contactpagina of website, een telefoonnummer was niet aanwezig. In twee derde van de gevallen kwam er zelfs geen reactie.

Commercieel vs. open source

Maar dat was in 2008. Inmiddels zijn we zeven jaar verder en in die tijd is er veel veranderd. In juli dit jaar kwam het Coverity Scan Open Source Report uit, waarin de veiligheid van zowel commerciële als open source producten in 2014 met elkaar werden vergeleken. Vorig jaar zijn er bijna 152 duizend gebreken verholpen, wat meer is dan dat er in totaal gevonden werd tussen 2006 en 2013. Een flinke stijging dus. Maar wat het rapport ook toont is dat de defect density, het aantal gebreken per duizend regels code, verbeterd is. Voor open source producten is dit aantal van 0,66 naar 0,61 gegaan. Er worden dus steeds minder problemen gevonden in de code. Ter vergelijking: de defect density van commerciële code stond in 2013 op 0,77 en vorig jaar op 0,76. In open source software zitten dus minder gebreken in de code dan bij commerciële software.

Als we kijken naar de veiligheid van deze software, zien we ook een verbetering. In 2014 gebruikte open source besturingssysteem Linux de Coverity Scan Service om meer dan vijfhonderd gevaarlijke gebreken te vinden en te repareren. Hieronder vielen onder meer resource-lekken, memory corruptions en nietgeïnitialiseerde variabelen. Dit klinkt ernstig, maar het feit dat ze gevonden worden is positief. De problemen worden immers daarna, als het goed is, opgelost. Waar het probleem ligt, en waar het in 2008 ook al lag, is hoe snel de gebreken worden opgelost. Volgens het rapport is het namelijk nog steeds zo dat commerciële software haar problemen sneller oplost dan dat de open source projecten dit doen. Maar het onderzoek laat ook zien dat de betrouwbaarheid en beveiliging in beide soorten software wel verbeterd worden. We gaan dus vooruit.

Variërend

Hoe veilig open source software precies is, hangt af van de software. Het ene product wordt immers beter onderhouden dan het andere. Hoe goed dat is, hangt af van hoeveel de software gebruikt wordt en welke community erachter hangt. Als de software door veel bedrijven of particulieren gebruikt wordt, is de druk om het product goed te onderhouden groter. De software wordt onderhouden door een groep mensen die dit vaak vrijwillig doet en ook daar is het maar de vraag hoe vaak en hoe goed zij dit doet.

GitHub

Veel open source software vind je op GitHub, een website waar software repositories worden gedeeld. Hier kun je zoeken naar software en de code inzien inclusief datalogs. Prettig is ook dat je gemakkelijk allerlei informatie over de software kunt vinden, onder meer hoe vaak de software is bijgewerkt (commits) en hoeveel problemen (issues) er zijn.

Klik je op Commits, dan zie je hoe vaak er code is toegevoegd of veranderd, maar ook wanneer dit voor het laatst is gedaan. Zijn er weinig commits of is de laatste bijvoorbeeld twee jaar oud, dan weet je dat de software waarschijnlijk niet goed onderhouden wordt en daarmee minder veilig is dan goed onderhouden software.

Aan de rechterkant zie je hoeveel issues er zijn. Door hier op te klikken krijg je een lijst met wat de issues zijn en de reacties erop. Zijn dit er veel en wordt er weinig tot niet op gereageerd, dan is de kans groot dat er niets mee gedaan wordt. De issues die je ziet zijn degene die nog openstaan en dus niet zijn opgelost. Je kunt ook zien hoeveel er al wel opgelost zijn, dit zijn de closed issues. Daarnaast zie je in de lijst wat voor soort problemen het zijn: er staan categorieën naast elk probleem. Een issue kan bijvoorbeeld een vraag zijn, een verbetering aan het programma of een bug. Verbeteringen zijn natuurlijk altijd goed, maar niet noodzakelijk voor de beveiliging. Het belangrijkste om naar te kijken zijn de bugs, want daar zitten de echte problemen. In dit venster kun je overigens ook zelf nieuwe problemen aankaarten door op New issue te klikken.

Beveiligingssoftware

Ook in de wereld van open source software zijn er tal van programma's om jouw computer te beveiligen. Hierbij geldt wel, net als bij andere software, dat het product zelf dan wel goed onderhouden moet worden. Het is daarom verstandig om de bovenstaande informatie ook toe te passen op dit soort producten. Toch zijn er een aantal goede open source opties voor de beveiliging van jouw apparaten.

AES Crypt

Wil je bestanden versleutelen zonder meteen een hele schijf te moeten encrypten? Dan is AES Crypt een goede manier. De software laat je ieder bestand naar keuze gemakkelijk versleutelen met AES-encryptie, de veiligste manier om jouw data te versleutelen. Prettig is ook dat het programma op zowel Linux als op Windows en Mac te gebruiken is en geheel gratis is.

AES Crypt is hier te downloaden.

Passwordmaker

PasswordMaker is een tool die onder meer als extensie gebruikt kan worden, maar in principe met elke browser werkt. De tool maakt unieke wachtwoorden voor je die je gemakkelijk kunt ophalen. Je logt in met een master password en vervolgens heb je toegang tot je andere wachtwoorden, zodat je kunt inloggen op een website.

PasswordMaker is hier te downloaden.

Open Source Tripwire

Tripwire is een oplossing om ongewenste indringers in jouw systeem te detecteren. Je hebt dus nooit meer zorgen over of er ingebroken is of niet, je krijgt simpelweg een melding als dit gebeurt. Open Source Tripwire is een afgeleide van het originele, commerciële Tripwire en is ontwikkeld door hetzelfde bedrijf. Groot verschil is dat deze versie gratis te gebruiken is.

Open Source Tripwire is hier te downloaden.

Tips
[block] [par][bold]1. Weet waar je mee werkt[/bold][/par] [par]Bij open source producten is het van belang om beide ogen goed open te houden. Zoek uit of de software goed onderhouden wordt, wie er verantwoordelijk voor is en of en hoe diegene te bereiken is.[/par][par][bold] 2. Onderhandel over ondersteuning[/bold][/par] [par]Wil je zeker weten dat de software die jij gebruikt veilig is en blijft? Onderhandel vooraf over de ondersteuning van bepaalde pakketten. Zorg dat je goede afspraken maakt en problemen altijd snel worden opgelost. [/par][par][bold] 3. Bekijk de code[/bold][/par] [par]Een goede manier om te zien hoe goed iets beveiligd is, is door de code te bekijken. Dit kun je zelf doen, maar als je hier niets mee kunt, is het beter om een security-expert in de arm te nemen. Vaak weet zo iemand wel waar hij moet zoeken en kan hij dus relatief snel zien of de software veilig is.[/par] [par][bold]4. Staan er wachtwoorden in de config-file?[/bold][/par] [par]In de config-file staan allerlei gegevens die belangrijk zijn voor het programma. Dit is echter ook hetgeen dat openbaar wordt gemaakt. Als hier wachtwoorden in staan, is de software per definitie niet veilig. Kwaadwillenden kunnen er gemakkelijk bij, alles is immers openbaar en dus met gemak te vinden.[/par][par][bold] 5. Kijk op GitHub[/bold][/par] [par]Op GitHub kun je allerlei informatie vinden over de software die je gebruikt of wilt gebruiken. Het is verstandig om voor het downloaden van de software eerst te kijken hoeveel problemen er zijn, hoe snel ze worden opgelost en hoe vaak de software wordt geüpdatet. Zo zie je snel of dit product veilig is om te gebruiken. [/par][/block]
Cybersecurity-maand: Veilig gebruikmaken van open source software
Is open source-software wel veilig te gebruiken?